Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Майнеры с размахом

Прочитали: 1754 Комментариев: 92 Рейтинг: 96

Многие еще помнят об эпидемии WannaCry, которой в том числе и «Антивирусная правДА!» посвятила несколько выпусков. Напомним об одном факте:

В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.

WannaCry хоть и стал известным, но его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows. Распространение Adylkuzz может быть ещё более масштабным, так как кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.

#drweb

https://habrahabr.ru/post/328932

https://null0x4d5a.blogspot.ru/2017/05/behavioral-analysis-of-adylkuzz.html

http://www.securitylab.ru/news/486210.php

Получается, что пока все боялись WannaCry, гораздо более успешно распространялся Adylkuzz. Но СМИ о нем молчали.

В свое время мы приводили пример данного троянца как факт того, что зачастую в СМИ гораздо больше внимания уделяют не самым распространенным и не самым опасным вредоносным программам.

В то же время Adylkuzz был гораздо более интересен, чем WannaCry. И зарабатывал он на криптовалютах. Это продвинутый майнер, не просто запускавший модуль майнинга, а инфицировавший запущенные процессы.

Интересно, что Adylkuzz «заботится» о пользователе – после заражения он закрывает 445 порт, после чего прочие последователи WannaCry проникнуть на компьютер уже не могут.

#drweb

Попав на компьютер жертвы, Adylkuzz сканирует компьютер на наличие своих копий, отключает их, блокирует SMB-коммуникации, определяет публичный IP-адрес заражённого компьютера, после чего загружает инструкции и криптомайнер.

На рисунке ниже показан скрин одного из кошельков, связанных с атакой. «Hash rate» показывает скорость, с которой конкретный экземпляр ботнета добывает Moneros, «Total paid» показывает общую сумму намайненных монет.

#drweb

https://wanadecryptor.ru/adylkuzz-world-attack

После успешного запуска эксплойта через протокол SMB злоумышленники использовали код ядра, чтобы внедрить себя в процесс lsass.exe, который всегда присутствует в системах Windows. Такое заражение обеспечивало «выживаемость» троянца. При этом большинство действий выполнялось с помощью собственных утилит Windows или других невредоносных инструментов.

В числе прочего вирусописатели создавали нового пользователя, загружали нужные им утилиты, при необходимости обновляли их, если на компьютере использовались старые версии, добавляли все необходимое в автозагрузку… Ну и, конечно, использование утилиты Mimikatz для сбора учетных данных пользователя и доступа к различным станциям сети с целью превращения их в узлы майнинга криптовалюты Monero.

Подробнее об этом можно почитать здесь и здесь. Dr.Web детектировал данную вредоносную программу как Backdoor.Spy.3365.

В качестве майнера Adylkuzz полностью потреблял все доступные ресурсы, контролировал диспетчер задач taskmgr.exe, чтобы тот показывал обычное использование системы.

Так что майнер – это не просто какая-то «запущенная программа».

Еще один продвинутый майнер известен как CoinMiner (по классификации Dr.Web - Trojan.BtcMine.1505). Он тоже использует уязвимость EternalBlue из коллекции АНБ в целях заражения (уязвимость используется для удаления и запуска бэкдора в системе), но для запуска управляющих команд на инфицированных системах используются сценарии инструментария управления Windows (Windows Management Instrumentation, WMI). CoinMiner не сохраняется на диске в виде файла (является бесфайловой угрозой) и использует WMI, чтобы скрыть свое присутствие. В частности, для выполнения скриптов использовалось приложение сценариев WMI Standard Event (scrcons.exe).

WMI является стандартным компонентом Windows и предназначен для решения повседневных задач управления, в том числе для их автоматизации, запуска программ в заданное время, получении информации о установленных приложениях, мониторинга изменений в папках…

А сценарии WMI – это снова скрипты JScript…

Возвращаясь к WannaCry, с которого мы начали выпуск - специалисты британской исследовательской компании Kryptos Logic утверждают (https://www.bleepingcomputer.com/news/security/wannacry-ransomware-sinkhole-data-now-available-to-organizations), что только в марте 2018 было зарегистрировано около 100 млн. обращений к домену-выключателю WannaCry, выполненных с 2,7 млн уникальных IP-адресов. WannaCry, далеко не самый опасный вредоносный комплекс, продолжает распространяться!

#майнинг #нелегальное_ПО #биткойн

Dr.Web рекомендует

  1. Майнеры – это не только троянцы и утилиты. Это еще и черви, которые расползаются через уязвимости.
  2. Пренебрежение базовыми мерами безопасности может обойтись дорого. Примеры таких майнеров как CoinMiner и Adylkuzz показывают, что для защиты от этого типа угроз нужно обновляться, поддерживая систему в актуальном состоянии.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: