Лоуренс Абрамс
  • 18 сентября 2019 г.
  • 09:04

Майнинг-ботнет Smominru продолжает разрушать корпоративные машины, не только лишь устанавливая криптоминеры, одновременно крадя учетные данные, устанавливая бэкдоры и внося изменения в конфигурацию позволяющей вести бухгалтерский учет (софт), которые бывают вариации повлиять на правильную работу зараженной машины.

Smominru. это вредоносная вредоносная программа, распространяющаяся с применением эксплойта EternalBlue и путем грубого форсирования RDP, MSSQL, Telnet и других открытых служб. Когда ботнет получает доступ к компьютеру, он пытается удалить конкурирующее вредоносное ПО, обезопасить коробку от дальнейших заражений, а в окончании установить ПО для компьютера для шифрования, украсть учетные данные для входа в систему, установить бэкдоры и распространить их в боковом направлении на другие машины.

В 2018 году мы сообщили, что Такой ботнет заразил более 500 000 компьютеров и заработал примерно 5,3 миллиона долларов. Согласно новому отчету Guardicore Labs, ботнет по-прежнему активно работает с 90 тыс. Новых жертв в августе 2019 г. и 4,7 тыс. Новых заражений в течении дня.

READ  Код ядра намекает на Galaxy Note 20, Galaxy Fold 2 и Project Zodiac

Что еще хуже, Guardicore заметил, что 25% инфицированных жертв были повторно заражены более раза, показывая, что машины не были хорошо исправлены и защищены после очистки.

Поскольку миф червь использует эксплойт EternalBlue, исследователи отмечают, что большинство зараженных операционок. это Операционной системы 7 и Ос Server 2008, которые содержат рабочие эксплойты для этой уязвимости.

«Неудивительно, что Ос 7 и Операционной системы Server 2008 являются наиболее зараженными ОС, на которые приходится 85% всех заражений». говорится в отчете Guardicore Labs. «Это версии Ос, для которых встречаются доступный эксплойт EternalBlue, доступный в Интернете. К другим операционным системам-жертвам относятся Ос Server 2012, Операционной системы XP и Операционной системы Server 2003. Это либо комплекса бухгалтерских программ, которые не поддерживаются на протяжении длительного периода, либо быть концом жизни ".

Cyber ​​Turf войны

После заражения компьютера Smominru загрузит компонент-червь, используемый для распространения на другие машины, руткит MBR и трояна с именем PcShare, который содержит возможности троянца удаленного доступа (RAT), такие как кража информации, выполнение команд и загрузка других вредоносных программ. ,

Smominru Mining Botnet в Cyber ​​Turf War с конкурирующим вредоносным ПО

Исследователи полагают, что компонент PcShare используется для загрузки майнеров Monero.

READ  По слухам, GeForce RTX 3080 Max-Q будет использовать полноценный графический процессор GA104

Помимо заражения машины целым рядом вредоносных программ, ботнет также делает все возможное, чтобы удалить любых конкурентов с зараженного компьютера.

Это достигается путем завершения многочисленных процессов, удаления черных учетных записей и удаления запланированных задач, связанных с конкурирующими вредоносными программами.

Удалив конкурирующее вредоносное ПО с компьютера, Smominru попытается защитить зараженную машину, заблокировав TCP-порты 135, 137, 138, 139 и 445, которые связаны с SMB и RPC.

С устранением конкурирующих вредоносных программ и усилением защиты зараженной машины ботнет может затем использовать все ресурсы компьютера для собственных усилий по майнингу.

Обнаружение и защита от Smominru

Чтобы помочь в обнаружении Smominru, Guardicore выпустила сценарий PowerShell, который может сканировать и обнаруживать наличие этой инфекции.

Для тех, кто хочет вручную проверить наличие этой инфекции, исследователи утверждают, что вы также можете проверить наличие следующих файлов:

В конечном счете, однако, системные администраторы должны защитить свои машины, чтобы они не были уязвимы для этих типов инфекций.

«Распространение Smominru в значительной степени основано на слабых паролях, но оно также зависит от существования уязвимых компьютеров EternalBlue. Непатентованные системы позволяют кампании заражать бесчисленные машины по всему миру и распространяться во внутренних сетях. Таким образом, крайне важно, чтобы операционные системы были выровнены с доступными в настоящее время обновлениями программного обеспечения. "

READ  Apple звонит в Новый год с 20% скидкой на заказы Grubhub через Apple Pay

Осознавая тот факт, что исправление может быть сложной задачей в некоторых средах, Guardicore предлагает применить дополнительные меры безопасности, такие как ограничение открытых серверов и инструментов сетевого мониторинга.