0
Trend Micro siger Coinminer ‘ s brug af fileless WMI-scripts og EternalBlue gør sin trussel om at Windows-maskiner “ekstremt snigende og vedvarende”.
Billede: Trend Micro
– Kriminelle at inficere Windows maskiner med fileless malware, der kører i hukommelsen, og sætter kapret Pc ‘ er til at arbejde på minedrift cryptocurrency.
To funktioner i særdeleshed gøre med denne malware, der er kendt som Coinminer, “ekstremt snigende og vedholdende”, ifølge malware forskere på Trend Micro.
Til at inficere Windows-maskine, det er at bruge de såkaldte EternalBlue sårbarhed, der er ansat af WannaCry og NotPetya som en spredning mekanisme. Microsoft frigivet en patch til fejlen i Marts, men en bølge af infektioner i Asien, primært i Japan, tyder på, at nogle systemer er ikke blevet opdateret.
På maskiner, som er sårbare over for denne fejl, malware kører en bagdør, der installerer flere WMI (Windows Management Instrumentation) scripts, der kører i hukommelsen, som gør dem sværere at opdage.
IT-administratorer kan bruge WMI til at køre scripts, som automatiserer administrative opgaver på fjerncomputere og erhverve management data fra disse computere og installerede Windows-programmer.
Men i dette tilfælde cryptocurrency minedrift malware bruger WMI for mere forbryderiske formål, herunder tilslutning til hacker ‘ s kommando-og kontrol-domæner for at hente mining software og malware.
WMI malware er ikke ny, og blev brugt i den berygtede Stuxnet-malware. FireEye har også fundet en avanceret hacker-gruppen APT29 ved hjælp af WMI-evner til at skabe vedvarende og snigende bagdøre, som automatisk udløser en bagdør, når systemet starter op.
Malwarebytes identificeret WMI teknikker, der bruges til at kapre Chrome og Firefox til at omdirigere brugere til et angreb site.
Ifølge Trend Micro, minedrift malware drift omfatter en timer, der automatisk udløser ondsindede WMI-script hver tre timer.
Admins bør deaktivere SMBv1 fil-deling-protokollen til at forebygge angreb ved hjælp af det Evige Blå, en udnyttelse af SMBv1 menes at være skabt af NSA og lækket i April af den Skygge Mæglere.
Selv før lækagen af EternalBlue og WannaCry vedtagelse af det, var Microsoft opfordrer kunder til at stoppe med at bruge den 30-år gamle protokol.
Trend Micro peger også på, at en Microsoft-værktøj, der kan spore WMI aktivitet og anbefaler at begrænse WMI på en efter behov grundlag, samt deaktivering af WMI på maskiner, der ikke har brug for adgang til det.
Relaterede dækning
Hackere gør deres malware, mere kraftfuldt ved at kopiere WannaCry og Petya ransomware tricks
Gruppen bag Trickbot forsøger at give sin Trojan, malware self-spredning orm-lignende egenskaber, der har gjort de seneste ransomware angreb go global.
Lækket NSA hacking, exploit, der anvendes i WannaCry ransomware er nu siddet med Trojan, malware
EternalBlue Windows sikkerhedshul er blevet gearede til at gøre Nitol og Gh0st ROTTE cyberespionage værktøjer mere effektive, advarer forskere.
0