0
Trend Micro sagt Coinminer die Nutzung von fileless WMI-Skripts und EternalBlue macht Ihre Bedrohung für Windows-Maschinen”, die sehr schleichende und anhaltende”.
Bild: Trend Micro
Kriminelle infizieren Windows-Maschinen mit fileless malware läuft im Arbeitsspeicher und versetzt den manipulierten PCs an die Arbeit im Bergbau kryptogeld.
Zwei besonderen features machen diese malware, bekannt als Coinminer, “extrem heimlich und hartnäckig”, nach malware-Forscher bei Trend Micro.
Zu infizieren Windows-Rechner, es ist mit der sogenannten EternalBlue Schwachstelle beschäftigt WannaCry und NotPetya als Verbreitung Mechanismus. Microsoft veröffentlicht einen patch für die Schwachstelle im März aber eine Flut von Infektionen in Asien, hauptsächlich in Japan, bieten einige Systeme noch nicht aktualisiert worden.
Auf Maschinen, die anfällig für diese Fehler, die malware läuft ein backdoor, die die Installation mehrerer Windows Management Instrumentation (WMI) – Skripts, die im Speicher ausgeführt werden, wodurch Sie schwieriger zu erkennen.
IT-Administratoren können WMI-Skripts ausführen, automatisieren Verwaltungs-tasks auf remote-Computern und erwerben management-Daten von diesen Computern installiert und Windows-Anwendungen.
In diesem Fall ist aber die kryptogeld-mining-malware benutzt WMI für weitere bösartige Zwecke, einschließlich der Verbindung zu dem Angreifer in die command-and-control-domains zu download-mining-software und malware.
WMI-malware ist nicht neu und wurde in der berühmt-berüchtigten Stuxnet-malware. FireEye hat auch eine erweiterte hacker-Gruppe APT29 mithilfe von WMI-Funktionen zum erstellen von persistenten und heimlich Hintertüren durch automatisches auslösen ein backdoor, wenn ein system startet.
Malwarebytes identifiziert WMI-Techniken verwendet wurden, zu entführen Google Chrome und Firefox umleiten von Benutzern zu einer Attacke Seite.
Laut Trend Micro, die mining-malware-Betrieb verfügt über eine Zeitschaltuhr, die automatisch löst die schädliche WMI-Skript alle drei Stunden.
Admins sollten, deaktivieren Sie die SMBv1 file-sharing-Protokoll zu verhindern, dass Angriffe über das Ewige Blau, ein exploit für SMBv1 Gedanken geschaffen werden, indem die NSA und geleckt im April von der Shadow Broker.
Noch vor dem Auslaufen der EternalBlue und WannaCry angenommen es wurde Microsoft drängen Kunden, um die Verwendung der 30-jährige zu Protokoll.
Trend Micro weist auch auf ein tool von Microsoft können die trace-WMI-Aktivität und empfiehlt, den WMI auf einer wie-benötigt-basis sowie die Deaktivierung von WMI auf Computern, die keinen Zugang zu Ihr.
Verwandte coverage
Hacker Ihre malware leistungsfähiger durch kopieren WannaCry und Petya ransomware tricks
Die Gruppe hinter Trickbot versucht, um seinen Trojaner der sich selbst verbreitenden Wurm-wie die Fähigkeiten, aktuelle ransomware-Attacken weltweit.
Durchgesickerte NSA hacking exploit verwendet in WannaCry ransomware ist jetzt einschalten Trojaner-malware
EternalBlue Windows-Sicherheitslücke wird genutzt, um Nitol und Gh0st RATTE cyberespionage-tools effektiver, warnen die Forscher.
0