Вредоносное приложение для майнинга криптовалют CoinMiner использует EternalBlue и WMI

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

lelonco

Участник

lelonco

Участник
17 Авг 2017
8
3
Новое семейство вредоносных программ под названием CoinMiner приносит множество проблем обычным пользователям и компаниям.
Новую угрозу очень трудно остановить или обнаружить из-за ее уникальных особенностей

577d50cd624779acb995234d26bb1b0a.png
Вредоносная программа представляет собой майнер криптовалют, который использует эксплойт EternalBlue из коллекции АНБ для заражения жертв, а также инструментарий управления Windows (WMI) для запуска управляющих команд на инфицированной системе.

Кроме того, CoinMiner исполняется в оперативной памяти (является бесфайловой угрозой) и использует несколько уровней командных серверов для развертывания необходимых для проведения атаки скриптов и компонентов.

Данные особенности зловреда позволяют обходить защиту устаревших систем, которая не соответствует новейшим методикам атак.

Как избежать заражения CoinMiner

Отключаем SMBv1

Чтобы обезопасить себя от CoinMiner, необходимо принять несколько мер предосторожности.

Простейшим решением является предотвращение первого этапа заражения вредоносным ПО, которое осуществляется с помощью эксплойта EternalBlue. Данный эксплойт был украден у Агентства Национальной Безопасности США хакерской группировкой Shadow Brokers, а затем применялся в атаках WannaCry и NotPetya.

Пользователи должны убедиться, что у них на компьютере установлен патч безопасности MS17-010 от Microsoft или, по крайней мере, отключен протокол SMBv1. В этом случае у CoinMiner не будет доступа к системе.

Отключаем WMI

В ситуациях, когда протокол SMB имеет решающее значение для сетевой совместимости, у вас все еще остается возможность избежать заражения CoinMiner. Нужно отключить инструментарий управления Windows, встроенный в операционную систему.

CoinMiner использует WMI для загрузки скриптов и других компонентов, необходимых для обеспечения устойчивости на каждом хосте, а затем для загрузки и запуска фактического двоичного файла CoinMiner.

Компания Trend Micro, обнаружившая CoinMiner на этой неделе, рекомендует отключить WMI в тех системах, где это не требуется, или, по крайней мере, ограничивать доступ к WMI учетной записью администратора, доступной только для ИТ-персонала. Для отключения WMI нужно выполнить в командной строке команду net stop winmgmt. Обратите внимание, что связанные службы также будут остановлены, в частности SMS Agent Host и Брандмауэр Windows.

CoinMiner является не первым майнером криптовалют, который использует EternalBlue для заражения жертв. Ранее майнер Adylkuzz использовал этот же эксплойт из набора АНБ для инфицирования систем с целью добычи криптовалют. С другой стороны, CoinMiner является одним из немногих бесфайловых криптомайнеров.
 

Вложения

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя