Новое семейство вредоносных программ, обнаруженных под именем CoinMiner, вызывает у пользователей и охранных компаний множество проблем, которые трудно остановить или обнаружить из-за комбинации различных уникальных функций.
Вредоносная программа – майнер криптовалют – использует эксплойт EternalBlue NSA для заражения жертв и инструментарий WMI (Windows Management Instrumentation) в качестве метода выполнения команд в зараженных системах.
Кроме того, CoinMiner также работает в памяти (бесфайловое вредоносное ПО) и использует несколько уровней серверов управления и контроля для развертывания множества скриптов и компонентов, необходимых для заражения жертв.
Все это представляет собой смертельную смесь функций, которая создает проблемы для устаревших машин и систем, на которых работают антивирусные решения, не соответствующие новейшим технологиям заражения.
Избегайте заражения CoinMiner, отключив SMBv1 …
Чтобы избежать заражения CoinMiner, пользователям необходимо принять несколько мер предосторожности.
Самое простое решение – предотвратить первый шаг заражения вредоносным ПО, которым является EternalBlue, эксплойт для SMB, разработанный АНБ, просочившийся в сеть хакерской группой, известной как Shadow Brokers, и использовавшийся во время эпидемий программ-вымогателей WannaCry и NotPetya.
Пользователи должны убедиться, что у них установлен патч безопасности Microsoft MS17-010 или, по крайней мере, отключить протокол SMBv1 в своих системах, чтобы CoinMiner не имел никакого доступа к их компьютерам.
… и WMI
В ситуациях, когда этот протокол имеет решающее значение для взаимодействия в сети, заражения CoinMiner можно избежать, если пользователи защищаются от второй стадии эксплуатации вредоносного ПО, которая заключается в использовании WMI – набора инструментов, встроенных во все версии Windows.
CoinMiner использует WMI для загрузки скриптов и других компонентов, необходимых для обеспечения постоянства на каждом хосте, а затем для загрузки и запуска фактического двоичного файла CoinMiner.
Компания Trend Micro, которая обнаружила CoinMiner на этой неделе, рекомендует отключить WMI в системах, где он не нужен, или, по крайней мере, ограничить доступ к WMI только одной учетной записью администратора, доступной только ИТ-персоналу.
Руководства по отключению SMBv1 и WMI доступны здесь и здесь . Для технически подкованных: Trend Micro также опубликовала технический отчет, в котором шаг за шагом подробно описывается процесс заражения CoinMiner.
CoinMiner – не первый майнер криптовалюты, использующий эксплойт EternalBlue для заражения жертв. Adylkuzz шахтер был первым, развернув его вскоре после того, как Теневые Брокеры просочились его в Интернете. С другой стороны, CoinMiner – один из немногих безфайловых майнеров криптовалюты.