Новое семейство вредоносных программ под названием CoinMiner приносит множество проблем обычным пользователям и компаниям.
Новую угрозу очень трудно остановить или обнаружить из-за ее уникальных особенностей
Вредоносная программа представляет собой майнер криптовалют, который использует эксплойт EternalBlue из коллекции АНБ для заражения жертв, а также инструментарий управления Windows (WMI) для запуска управляющих команд на инфицированной системе.
Кроме того, CoinMiner исполняется в оперативной памяти (является бесфайловой угрозой) и использует несколько уровней командных серверов для развертывания необходимых для проведения атаки скриптов и компонентов.
Данные особенности зловреда позволяют обходить защиту устаревших систем, которая не соответствует новейшим методикам атак.
Как избежать заражения CoinMiner
Отключаем SMBv1
Чтобы обезопасить себя от CoinMiner, необходимо принять несколько мер предосторожности.
Простейшим решением является предотвращение первого этапа заражения вредоносным ПО, которое осуществляется с помощью эксплойта EternalBlue. Данный эксплойт был украден у Агентства Национальной Безопасности США хакерской группировкой Shadow Brokers, а затем применялся в атаках WannaCry и NotPetya.
Пользователи должны убедиться, что у них на компьютере установлен патч безопасности MS17-010 от Microsoft или, по крайней мере, отключен протокол SMBv1. В этом случае у CoinMiner не будет доступа к системе.
Отключаем WMI
В ситуациях, когда протокол SMB имеет решающее значение для сетевой совместимости, у вас все еще остается возможность избежать заражения CoinMiner. Нужно отключить инструментарий управления Windows, встроенный в операционную систему.
CoinMiner использует WMI для загрузки скриптов и других компонентов, необходимых для обеспечения устойчивости на каждом хосте, а затем для загрузки и запуска фактического двоичного файла CoinMiner.
Компания Trend Micro, обнаружившая CoinMiner на этой неделе, рекомендует отключить WMI в тех системах, где это не требуется, или, по крайней мере, ограничивать доступ к WMI учетной записью администратора, доступной только для ИТ-персонала. Для отключения WMI нужно выполнить в командной строке команду net stop winmgmt. Обратите внимание, что связанные службы также будут остановлены, в частности SMS Agent Host и Брандмауэр Windows.
CoinMiner является не первым майнером криптовалют, который использует EternalBlue для заражения жертв. Ранее майнер Adylkuzz использовал этот же эксплойт из набора АНБ для инфицирования систем с целью добычи криптовалют. С другой стороны, CoinMiner является одним из немногих бесфайловых криптомайнеров.
Новую угрозу очень трудно остановить или обнаружить из-за ее уникальных особенностей
Вредоносная программа представляет собой майнер криптовалют, который использует эксплойт EternalBlue из коллекции АНБ для заражения жертв, а также инструментарий управления Windows (WMI) для запуска управляющих команд на инфицированной системе.
Кроме того, CoinMiner исполняется в оперативной памяти (является бесфайловой угрозой) и использует несколько уровней командных серверов для развертывания необходимых для проведения атаки скриптов и компонентов.
Данные особенности зловреда позволяют обходить защиту устаревших систем, которая не соответствует новейшим методикам атак.
Как избежать заражения CoinMiner
Отключаем SMBv1
Чтобы обезопасить себя от CoinMiner, необходимо принять несколько мер предосторожности.
Простейшим решением является предотвращение первого этапа заражения вредоносным ПО, которое осуществляется с помощью эксплойта EternalBlue. Данный эксплойт был украден у Агентства Национальной Безопасности США хакерской группировкой Shadow Brokers, а затем применялся в атаках WannaCry и NotPetya.
Пользователи должны убедиться, что у них на компьютере установлен патч безопасности MS17-010 от Microsoft или, по крайней мере, отключен протокол SMBv1. В этом случае у CoinMiner не будет доступа к системе.
Отключаем WMI
В ситуациях, когда протокол SMB имеет решающее значение для сетевой совместимости, у вас все еще остается возможность избежать заражения CoinMiner. Нужно отключить инструментарий управления Windows, встроенный в операционную систему.
CoinMiner использует WMI для загрузки скриптов и других компонентов, необходимых для обеспечения устойчивости на каждом хосте, а затем для загрузки и запуска фактического двоичного файла CoinMiner.
Компания Trend Micro, обнаружившая CoinMiner на этой неделе, рекомендует отключить WMI в тех системах, где это не требуется, или, по крайней мере, ограничивать доступ к WMI учетной записью администратора, доступной только для ИТ-персонала. Для отключения WMI нужно выполнить в командной строке команду net stop winmgmt. Обратите внимание, что связанные службы также будут остановлены, в частности SMS Agent Host и Брандмауэр Windows.
CoinMiner является не первым майнером криптовалют, который использует EternalBlue для заражения жертв. Ранее майнер Adylkuzz использовал этот же эксплойт из набора АНБ для инфицирования систем с целью добычи криптовалют. С другой стороны, CoinMiner является одним из немногих бесфайловых криптомайнеров.
