SOC Prime Bias: Mittel

05 Dec 2025 14:36 UTC

CoinMiner-Malware verbreitet sich weiterhin über USB-Laufwerke

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
CoinMiner-Malware verbreitet sich weiterhin über USB-Laufwerke
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

ZUSAMMENFASSUNG

CoinMiner-Malware verbreitet sich weiterhin über USB-Laufwerke in Südkorea, indem ein versteckter Shortcut genutzt wird, der VBS- und BAT-Skripte auslöst, die wiederum mehrere Komponenten inszenieren, die schließlich eine Kryptowährungs-Mining-Nutzlast liefern.

Untersuchung

Der Bericht beschreibt die Verzeichnisstruktur auf dem infizierten USB, die Ausführungskette vom Shortcut durch mehrere Dropper-Stufen, die Registrierung unter dem DcomLaunch-Dienst sowie die Bereitstellung der PrintMiner- und XMRig-Kryptowährungs-Miner.

Abmilderung

Benutzer sollten Betriebssystem und Software aktualisieren, die Ausführung unzuverlässiger Shortcut-Dateien blockieren, aktuelle Antiviren-Tools verwenden und den Zugang zu bekannter bösartiger Infrastruktur verweigern.

Reaktion

Erkennen Sie den bösartigen Shortcut und seine zugehörigen Skripte, überwachen Sie die Erstellung von Dropper-Dateien und DCOM-Registrierungen und blockieren Sie den Netzwerkverkehr zu den identifizierten Mining-Kommando-und-Kontroll-Domains und IP-Adressen.

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Durchführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder unverwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    1. Stufe 1 – Eine bösartige DLL ablegen: Der Angreifer kopiert eine bearbeitete printui.dll in dasselbe Verzeichnis wie printui.exe (simuliert eine Treiber-Nutzlast, die über ein USB-Gerät geliefert wird).
    2. Stufe 2 – Ausführen printui.exe: Durch Aufrufen von printui.exe mit dem /ml Schalter (bösartige Ladung) wird die bösartige DLL geladen und ein Prozess-Erstellungsereignis generiert, das der Auswahl ( der Regel entspricht (Bild endet mit printui.exe) während auch die Filter Bedingung (Bild enthält printui.dll). Diese Regel schließt
    3.  dies aus, sodass der Angreifer einen zweiten Schritt hinzufügt, um dies zu umgehen.Stufe 3 – Ausführen Stufe 3 – Ausführen payload.exe), die auf dem USB-Laufwerk gespeichert ist. Diese Aktion erzeugt ein Prozess-Erstellungsereignis für Stufe 3 – Ausführen : Der Angreifer registriert einen neuen Dienst, der auf eine Nutzlast-Binärdatei zeigt (
  • , erfüllt die Auswahl der Regel, ohne den Filter auszulösen, und erzeugt somit einen Alarm.Regressions-Testskript:

     Das unten stehende Skript automatisiert die drei Stufen und sorgt für Reproduzierbarkeit.
  • Aufräumbefehle: (Falls das obige Skript fehlschlägt oder Sie die manuelle Bereinigung bevorzugen)

    # Entfernen Sie den bösartigen Dienst, falls noch vorhanden
    $svcName = "MaliciousSvc"
    $svcInstPath = "$env:SystemRootSystem32svcinsty64.exe"
    & $svcInstPath /uninstall $svcName
    
    # Löschen Sie temporäre DLL und Nutzlast
    Remove-Item -Path "$env:TEMPprintui.dll" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.bat" -Force -ErrorAction SilentlyContinue
    
    # (Optional) Überprüfen Sie, ob keine Überbleibsel-Dienste vorhanden sind
    Get-Service -Name $svcName -ErrorAction SilentlyContinue