识别出会干扰Stantinko采矿僵尸网络检测的组件

开发Stantinko僵尸网络的黑客采用原始方法来掩盖其恶意软件的活动。网络安全公司ESET的分析师对此进行了报道。

在对#Stantinko #botnet的调查的基础上，@ ESETresearch分析了恶意行为者用来阻止分析并避免检测到他们的#malware的几种从未描述过的技术。 @welivesecurity??https://t.co/ByZIS4iiP5 pic.twitter.com/obAIYJSP5d

-ESET（@ESET）2020年3月19日

僵尸网络模块可以检测受害者设备上的防病毒软件，并强制关闭竞争程序以进行隐藏挖矿。尽管占用了资源，但在启动任务管理器时，该恶意软件仍暂停了其工作，这使得在受感染PC上进行检测变得复杂。

CoinMiner.Stantinko通过代理与采矿池进行交互。

为了使系统看起来更合法，僵尸网络使用了死代码方法。线的纠缠使其可以在使用前立即在设备的内存中生成可执行代码，而控制命令的纠缠使主要块的执行顺序无法预测。所有这些使从受感染系统中删除僵尸网络变得复杂。

“该模块最著名的功能是如何弄乱数据以干扰分析并避免检测。由于使用了伪随机数生成器，并且Stantinko运算符为每个新的受害者编译了该模块，因此该模块的每个样本都是唯一的。”-著名的ESET专家。

Stantinko僵尸网络自2012年以来一直活跃，并且正在使用盗版内容中嵌入的恶意软件进行传播。最初，他专门从事广告欺诈工作，到2018年年中，向其中添加了用于隐藏挖掘门罗币加密货币的模块。

截至2019年11月，斯坦坦科感染了俄罗斯，乌克兰，白俄罗斯和哈萨克斯坦的约50万台计算机。

—-

原文链接：https://forklog.com/opredeleny-komponenty-meshayushhie-obnaruzheniyu-majning-botneta-stantinko/

原文作者：lena

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。