研究人员发现隐藏在WAV音频文件中的Cryptojacker

根据Guardicore Labs的说法，在野外，WAV AUDIO文件格式被利用作为一种与加密网络感染受害者网络的车辆，这些实验室在2019年12月发表了一个新的披露，该公司在2019年12月在未公开的医疗科技公司中发表了最近的事件。

WAV或WAVE文件是一种音频文件类型，它使用容器以原始的和通常未压缩的单元存储音频数据 - 也与其他Windows文件类型共同。这意味着它们通常比其他类型的音频文件（如MP3）大得多，并且被专业音乐家和生产者广泛使用，以保留最佳音质。

根据Guardicore Researchers Ophir Harpaz和Daniel Goldberg的说法，有问题的网络被感染了一个粗壮的恶意软件应变，隐藏了WAV文件里面的Monero Crypominer。

黑客试图通过利用2017年Wannacry爆发而着名的Eternalblue脆弱性感染Windows 7机器在目标中传播。

当几个Windows 7机器下降到死亡的蓝屏（BSOD）的牺牲品下降（BSOD）的威胁时，目标被提醒，并指示内核模式错误，并通过其托管服务提供商的帮助。

虽然机器没有康复才能保存内核内存转储，但是对分析师来说是有用的，仔细检查发现，其中一个机器已经在注册表项中访问了可疑数据的长命令行。超过800个其他机器 - 受害者网络上的一半 - 也有不寻常的数据。

这结果是Base-64编码PowerShell脚本的结果，该脚本被发现在编码和解码的队伍中在线提供，标题为未知恶意软件。

调查显示，攻击者在港口445上进行了子网扫描，以尝试将恶意有效载荷传播到其他主机，并使用EterEnalBlue通过网络横向传播。

“在此发现之后，我们建议该公司阻止端点机之间的所有SMB [服务器消息块]流量，”Horpaz和Goldberg在披露博客中写道。

“公司预先在[Guardicore Product] Centra中有终点机，在他们被突破之前，使政策创造和执法更快。

“Guardicore Labs反向设计恶意软件有效载荷，并找到了一个多层可执行文件。在运行时，有效载荷将在另一个之后解压缩其模块，并在每个迭代中执行未包装的代码。

“恶意软件包含基于开源XMRIG CPU矿器的密码模块。它使用Cryptonightr算法来挖掘Monero - 一种流行的隐私硬币。此外，恶意软件使用隐写术并隐藏其在清洁的WAV文件内的恶意模块。该技术最近报道了，但这是它第一次被视为完全攻击流程的一部分。“

Guardicore通过首次删除恶意软件来修复此特定攻击，暂停恶意进程并删除包含二进制有效载荷的注册表项，此时妥协指标已停止出现。

Horpaz和Goldberg详细介绍了一系列措施，帮助其他可能的受害者调查和修复这种攻击。其中包括在Windows和Linux机器上启用日志转发到集中，硬化服务器，以保护它们 - 配置系统，以节省完整的崩溃转储以供未来的分析 - 以及分离受感染的机器，而不是立即清理它们，这可能会破坏潜在的证据。