DirtyMoe 恶意软件

受几种不同加密货币更令人印象深刻的价值增长的刺激，人气迅速上升，使以前的利基行业成为公众关注的焦点。威胁行为者也注意到了这一趋势，并迅速将他们的行动转向了滥用这一趋势。许多僵尸网络和恶意软件工具被创建或配备了加密挖掘功能。然后，威胁行为者可以劫持数千个受感染系统的资源，并使用它们来挖掘特定加密货币的硬币。 DirtyMoe 恶意软件是此类最新、最复杂的恶意软件工具之一。到目前为止，该威胁已被用于针对俄罗斯的目标，但在欧洲和亚洲国家也发现了受害者。据信息安全研究人员称，目前有近十万台感染了 DirtyMoe 的机器处于活动状态。

DirtyMoe 的初始版本由信息安全研究人员以NuggetPhantom的名义进行跟踪，它们通常不稳定并且很容易被网络安全产品捕获。然而，从那时起，恶意软件经历了重大演变，现在是一种难以捉摸的模块化威胁，展示了多种反检测和反分析技术。

DirtyMoe 的攻击链始于黑客寻找易受多种攻击的受害者。其中之一是臭名昭著的EternalBlue (CVE-2017-0144) 漏洞，该漏洞于 2017 年出现，但显然，仍有足够多的不安全系统让威胁参与者发现继续在其有害操作中滥用它是值得的。 DirtyMoe 青睐的另一个漏洞是在 Internet Explorer 中发现的脚本引擎内存损坏漏洞 (CVE-2020-0674)。受害者被包含不安全 URL 的网络钓鱼电子邮件引诱。

模块化结构

DirtyMoe 恶意软件的主要特征是其模块化。主要组件是 DirtyMoe Core。它负责下载、更新、加密、创建备份和保护 DirtyMoe 威胁。 Core 还负责将损坏的代码提供给 DirtyMoe Executioner，然后，顾名思义，它会执行它。注入的代码被命名为 MOE 对象或模块，并从操作的命令和控制服务器获取。

恶意软件威胁的特定行为可以进一步调整以适应威胁参与者的目标。网络犯罪分子可以命令 DirtyMoe 下载带有所需功能的加密负载，然后将其注入自身。在几个小时内，可以通过这种方式修改数千个 DirtyMoe 实例。事实上，DirtyMoe 可用于发起 DDoS 攻击、执行加密挖掘活动或提供额外的威胁有效载荷，例如数据收集器、勒索软件、特洛伊木马程序等。

强大的隐藏和自卫能力

DirtyMoe 使用 VMProtect 来保护其主要威胁核心。它还利用了一个 Windows 驱动程序，该驱动程序展示了 rootkit 中常见的多种功能，例如服务、注册表项和驱动程序隐藏。可以进一步指示驱动程序隐藏受感染机器系统卷上的特定文件或将任意 DLL 注入任何新创建的进程。网络通信也是通过一种有效的技术来实现的。该威胁携带一组硬编码的 DNS 服务器，用于向一个硬编码的域发出 DNS 请求。但是，对于最终的 IP 地址和端口，DirtyMoe 使用不同的 DNS 请求序列。结果，DirtyMoe 变得抗拒其最终 IP 被阻止。阻止对 DNS 服务器（例如 Google、Cloudflare 和类似服务）的 DNS 请求实际上也是不现实的。