テクノロジー ニュース 非公開: WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす

WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす

Cryptominer Malware Hidden as WAV Accidentally Caused BSODs
Cryptominer Malware Hidden as WAV Accidentally Caused BSODs

Guardicore Labs の研究者は最近、中規模の医療技術会社の 800 台以上のマシンをダウンさせるマルウェア攻撃に遭遇しました。このマルウェアは WAV ファイルとして隠されており、悪名高い EternalBlue の 脆弱性を悪用する Monero 暗号マイナーも含まれていました。

すべては攻撃者の計画通りに進みましたが、彼らのコードは 古き良きブルー スクリーン オブ デス (BSOD) を引き起こす結果となりました 。同社が自社のデバイスが侵害されたことに気づいたのは、10月14日に遡るBSOD事件の後だった。

研究者らは根本原因を調査した結果、 base-64 でエンコードされた PowerShell スクリプトが システム クラッシュの原因であることを発見しました。スクリプトは後で解読できるようにデコードされました。 ここで、 スクリプトのエンコードされたバージョンとデコードされたバージョンをチェックアウトできます。

「私たちは、(ポインター サイズに基づいて) システム アーキテクチャをチェックすることから始まる、読み取り可能な Powershell スクリプトを入手しました。次に、上記のレジストリ サブキーに格納されている値を読み取り、Windows API 関数 WriteProcessMemory を使用してその値をメモリに読み込みます。コード、つまりマルウェア ペイロードは、関数ポインター デリゲートを取得して呼び出すことによって実行されます。」と ガーディコアの研究者は 書いています

先ほど述べたように、攻撃者は EternalBlue の脆弱性を悪用して、ネットワーク内の他のデバイスにマルウェアを拡散しました。 Guardicore は、状況を封じ込めるためにすべての SMB トラフィックをブロックすることを同社に推奨しました。

研究者がマルウェアをリバース エンジニアリングした結果、次のことがわかりました。 「このマルウェアには、オープンソースの XMRig CPU マイナーをベースにしたクリプトマイニング モジュールが含まれています。 CryptonightR アルゴリズムを使用して、人気のあるプライバシー コインである Monero をマイニングします。さらに、このマルウェアはステガノグラフィーを利用し、見た目がきれいな WAV ファイル内に悪意のあるモジュールを隠します。」

悪意のあるプロセスは終了され、レジストリ キーが削除され、BSOD 画面を停止するために以前に影響を受けたシステムからマルウェアが駆除されました。レポート全体は ここで 読むことができます。

WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす
WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす

「 WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす」についてわかりやすく解説!絶対に観るべきベスト2動画

Windows 11/10でブルースクリーンが頻発している原因と対処 – 4DDiG Windows Boot Genius
https://www.youtube-nocookie.com/watch?v=egq0bAad63w&pp=ygVsIFdBViDjgajjgZfjgabpmqDjgZXjgozjgZ_jgq_jg6rjg5fjg4jjg57jgqTjg4rjg7wg44Oe44Or44Km44Kn44Ki44GM6Kqk44Gj44GmIEJTT0Qg44KS5byV44GN6LW344GT44GZJmhsPUpB
【MEMORY MANAGEMENT】ブルースクリーンが発生する場合の解決方法-Windows11
https://www.youtube-nocookie.com/watch?v=6MQFbeF5sXY&pp=ygVsIFdBViDjgajjgZfjgabpmqDjgZXjgozjgZ_jgq_jg6rjg5fjg4jjg57jgqTjg4rjg7wg44Oe44Or44Km44Kn44Ki44GM6Kqk44Gj44GmIEJTT0Qg44KS5byV44GN6LW344GT44GZJmhsPUpB
Cryptominer Malware Hidden as WAV Accidentally Caused BSODs
Cryptominer Malware Hidden as WAV Accidentally Caused BSODs

Guardicore Labs の研究者は最近、中規模の医療技術会社の 800 台以上のマシンをダウンさせるマルウェア攻撃に遭遇しました。このマルウェアは WAV ファイルとして隠されており、悪名高い EternalBlue の 脆弱性を悪用する Monero 暗号マイナーも含まれていました。

すべては攻撃者の計画通りに進みましたが、彼らのコードは 古き良きブルー スクリーン オブ デス (BSOD) を引き起こす結果となりました 。同社が自社のデバイスが侵害されたことに気づいたのは、10月14日に遡るBSOD事件の後だった。

研究者らは根本原因を調査した結果、 base-64 でエンコードされた PowerShell スクリプトが システム クラッシュの原因であることを発見しました。スクリプトは後で解読できるようにデコードされました。 ここで、 スクリプトのエンコードされたバージョンとデコードされたバージョンをチェックアウトできます。

「私たちは、(ポインター サイズに基づいて) システム アーキテクチャをチェックすることから始まる、読み取り可能な Powershell スクリプトを入手しました。次に、上記のレジストリ サブキーに格納されている値を読み取り、Windows API 関数 WriteProcessMemory を使用してその値をメモリに読み込みます。コード、つまりマルウェア ペイロードは、関数ポインター デリゲートを取得して呼び出すことによって実行されます。」と ガーディコアの研究者は 書いています

先ほど述べたように、攻撃者は EternalBlue の脆弱性を悪用して、ネットワーク内の他のデバイスにマルウェアを拡散しました。 Guardicore は、状況を封じ込めるためにすべての SMB トラフィックをブロックすることを同社に推奨しました。

研究者がマルウェアをリバース エンジニアリングした結果、次のことがわかりました。 「このマルウェアには、オープンソースの XMRig CPU マイナーをベースにしたクリプトマイニング モジュールが含まれています。 CryptonightR アルゴリズムを使用して、人気のあるプライバシー コインである Monero をマイニングします。さらに、このマルウェアはステガノグラフィーを利用し、見た目がきれいな WAV ファイル内に悪意のあるモジュールを隠します。」

悪意のあるプロセスは終了され、レジストリ キーが削除され、BSOD 画面を停止するために以前に影響を受けたシステムからマルウェアが駆除されました。レポート全体は ここで 読むことができます。

WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす
WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす

「 WAV として隠されたクリプトマイナー マルウェアが誤って BSOD を引き起こす」についてわかりやすく解説!絶対に観るべきベスト2動画

Windows 11/10でブルースクリーンが頻発している原因と対処 – 4DDiG Windows Boot Genius
https://www.youtube-nocookie.com/watch?v=egq0bAad63w&pp=ygVsIFdBViDjgajjgZfjgabpmqDjgZXjgozjgZ_jgq_jg6rjg5fjg4jjg57jgqTjg4rjg7wg44Oe44Or44Km44Kn44Ki44GM6Kqk44Gj44GmIEJTT0Qg44KS5byV44GN6LW344GT44GZJmhsPUpB
【MEMORY MANAGEMENT】ブルースクリーンが発生する場合の解決方法-Windows11
https://www.youtube-nocookie.com/watch?v=6MQFbeF5sXY&pp=ygVsIFdBViDjgajjgZfjgabpmqDjgZXjgozjgZ_jgq_jg6rjg5fjg4jjg57jgqTjg4rjg7wg44Oe44Or44Km44Kn44Ki44GM6Kqk44Gj44GmIEJTT0Qg44KS5byV44GN6LW344GT44GZJmhsPUpB

最新記事一覧

関連記事一覧