Майнеры с размахом
24 апреля 2018
Многие еще помнят об эпидемии WannaCry, которой в том числе и «Антивирусная правДА!» посвятила несколько выпусков. Напомним об одном факте:
В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.
WannaCry хоть и стал известным, но его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows. Распространение Adylkuzz может быть ещё более масштабным, так как кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.
https://habrahabr.ru/post/328932
https://null0x4d5a.blogspot.ru/2017/05/behavioral-analysis-of-adylkuzz.html
Получается, что пока все боялись WannaCry, гораздо более успешно распространялся Adylkuzz. Но СМИ о нем молчали.
В свое время мы приводили пример данного троянца как факт того, что зачастую в СМИ гораздо больше внимания уделяют не самым распространенным и не самым опасным вредоносным программам.
В то же время Adylkuzz был гораздо более интересен, чем WannaCry. И зарабатывал он на криптовалютах. Это продвинутый майнер, не просто запускавший модуль майнинга, а инфицировавший запущенные процессы.
Интересно, что Adylkuzz «заботится» о пользователе – после заражения он закрывает 445 порт, после чего прочие последователи WannaCry проникнуть на компьютер уже не могут.
Попав на компьютер жертвы, Adylkuzz сканирует компьютер на наличие своих копий, отключает их, блокирует SMB-коммуникации, определяет публичный IP-адрес заражённого компьютера, после чего загружает инструкции и криптомайнер.
На рисунке ниже показан скрин одного из кошельков, связанных с атакой. «Hash rate» показывает скорость, с которой конкретный экземпляр ботнета добывает Moneros, «Total paid» показывает общую сумму намайненных монет.
После успешного запуска эксплойта через протокол SMB злоумышленники использовали код ядра, чтобы внедрить себя в процесс lsass.exe, который всегда присутствует в системах Windows. Такое заражение обеспечивало «выживаемость» троянца. При этом большинство действий выполнялось с помощью собственных утилит Windows или других невредоносных инструментов.
В числе прочего вирусописатели создавали нового пользователя, загружали нужные им утилиты, при необходимости обновляли их, если на компьютере использовались старые версии, добавляли все необходимое в автозагрузку… Ну и, конечно, использование утилиты Mimikatz для сбора учетных данных пользователя и доступа к различным станциям сети с целью превращения их в узлы майнинга криптовалюты Monero.
Подробнее об этом можно почитать здесь и здесь. Dr.Web детектировал данную вредоносную программу как Backdoor.Spy.3365.
В качестве майнера Adylkuzz полностью потреблял все доступные ресурсы, контролировал диспетчер задач taskmgr.exe, чтобы тот показывал обычное использование системы.
Так что майнер – это не просто какая-то «запущенная программа».
Еще один продвинутый майнер известен как CoinMiner (по классификации Dr.Web - Trojan.BtcMine.1505). Он тоже использует уязвимость EternalBlue из коллекции АНБ в целях заражения (уязвимость используется для удаления и запуска бэкдора в системе), но для запуска управляющих команд на инфицированных системах используются сценарии инструментария управления Windows (Windows Management Instrumentation, WMI). CoinMiner не сохраняется на диске в виде файла (является бесфайловой угрозой) и использует WMI, чтобы скрыть свое присутствие. В частности, для выполнения скриптов использовалось приложение сценариев WMI Standard Event (scrcons.exe).
WMI является стандартным компонентом Windows и предназначен для решения повседневных задач управления, в том числе для их автоматизации, запуска программ в заданное время, получении информации о установленных приложениях, мониторинга изменений в папках…
А сценарии WMI – это снова скрипты JScript…
Возвращаясь к WannaCry, с которого мы начали выпуск - специалисты британской исследовательской компании Kryptos Logic утверждают (https://www.bleepingcomputer.com/news/security/wannacry-ransomware-sinkhole-data-now-available-to-organizations), что только в марте 2018 было зарегистрировано около 100 млн. обращений к домену-выключателю WannaCry, выполненных с 2,7 млн уникальных IP-адресов. WannaCry, далеко не самый опасный вредоносный комплекс, продолжает распространяться!
#майнинг #нелегальное_ПО #биткойнАнтивирусная правДА! рекомендует
- Майнеры – это не только троянцы и утилиты. Это еще и черви, которые расползаются через уязвимости.
- Пренебрежение базовыми мерами безопасности может обойтись дорого. Примеры таких майнеров как CoinMiner и Adylkuzz показывают, что для защиты от этого типа угроз нужно обновляться, поддерживая систему в актуальном состоянии.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
12:59:20 2018-08-05
ArtemiyKurs
11:31:28 2018-05-16
Александр
07:46:47 2018-04-26
Lia00
01:54:02 2018-04-25
Неуёмный Обыватель
00:45:20 2018-04-25
razgen
00:24:57 2018-04-25
"Указан несуществующий адрес.
Введите рабочую ссылку, которую хотите сократить."
razgen
00:20:06 2018-04-25
"Минкомсвязи планирует разрешить майнинг и гражданам, и компаниям, но держать процесс под контролем. Появится специальная система обнаружения майнеров – по структуре потребления тока и интернет-трафика, – чтобы соотносить мощность майнингового оборудования с количеством криптовалюты, которое майнер задекларирует на криптобирже. Майнеров ждут квоты на электроэнергию и специальный тариф."
Подробнее здесь: https://www.vedomosti.ru/technology/articles/2018/01/26/749044-viyavlyat-mainerov-po-schetam
vla_va
22:06:19 2018-04-24
Любитель пляжного футбола
21:53:58 2018-04-24
kva-kva
21:47:47 2018-04-24
orw_mikle
21:32:16 2018-04-24
Littlefish
21:14:16 2018-04-24
Littlefish
21:09:06 2018-04-24
Littlefish
21:07:10 2018-04-24
Toma
21:03:49 2018-04-24
Lex
20:56:03 2018-04-24
Marsn77
20:47:10 2018-04-24
I46
20:36:37 2018-04-24
ek
20:34:29 2018-04-24
I23
20:20:47 2018-04-24
Lenba
20:16:24 2018-04-24
Сергей
20:11:04 2018-04-24
Zserg
20:08:09 2018-04-24
Masha
20:05:14 2018-04-24
Dvakota
19:44:56 2018-04-24
mk.insta
19:39:58 2018-04-24
Геральт
19:01:00 2018-04-24
zsergey
18:40:27 2018-04-24
Dmur
18:18:57 2018-04-24
Пaвeл
17:33:35 2018-04-24
Пaвeл
17:06:47 2018-04-24
Ну что Вы так пессимистично! Вы конечно правы - любя у нас финансовые пирамиды, и что удивительно образованные люди на эту удочку тоже попадаются. Криптоволюте нужен контроль государства, чтобы не стать очередной пирамидой.
vasvet
16:55:19 2018-04-24
vasvet
16:49:48 2018-04-24
Andromeda
16:46:22 2018-04-24
Альфа
16:37:38 2018-04-24
Дмитрий
16:31:25 2018-04-24
La folle
16:23:01 2018-04-24
Sasha50
15:45:43 2018-04-24
Sasha50
15:45:03 2018-04-24
Татьяна
15:06:08 2018-04-24
EvgenyZ
13:48:16 2018-04-24
vinnetou
13:36:05 2018-04-24
Шалтай Александр Болтай
13:04:08 2018-04-24
Ну не в "Бузкоины" же деньги вкладывать! :)
Damir
12:52:32 2018-04-24
МЕДВЕДЬ
12:43:49 2018-04-24
Шалтай Александр Болтай
12:42:15 2018-04-24
achemolganskiy
11:50:12 2018-04-24
razgen
11:48:45 2018-04-24
В обозримом будущем вряд ли это случится. Технологический уровень человечества растёт быстрыми темпами. И динамика развития криптовалют, имеет положительное значение, в том числе и потому что цифровые деньги имеют ряд преимуществ.
maghan
11:37:10 2018-04-24
Vlad
11:31:09 2018-04-24
инфа 100!!! максимальный репост пожалуста!!!!
а если серьезно то мошенничество в особо крупном да еще и к взломом ПК невинных юзверей.