• Реклама: 💰 Пополни свой портфель с минимальной комиссией на Transfer24.pro
  • Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"

Майнер криптовалюты «лечит» зараженные ПК, чтобы отогнать конкурентов

CryptoLeopard

ТОП-МАСТЕР
Крипто-блогер
Регистрация
04.03.2015
Сообщения
34,101
Реакции
13,142
Поинты
25.330
Криптоботнет Kingminer, атаковав серверы, отключает на них RDP, если обнаруживает, что они до сих пор содержат уязвимость BlueKeep.

И снова Monero

Операторы криптоботнета Kingminer пытаются удержать позиции, нейтрализуя уязвимость, которыми пользуется сам ботнет. Таким образом предпринимается попытка отсечь конкурентов.

Вредоносная программа Kingminer представляет собой троянца, который брутфорсит SQL-серверы и устанавливает на них криминальный майнер XMRig для генерации криптовалюты Monero.

В последнее время Kingminer начал использовать эксплойты к EternalBlue для проникновения на серверы и при этом перекрывать удалённый доступ к скомпрометированным системам, чтобы не допустить попадания в них конкурирующих программ. Атака, впрочем, всё равно начинается с брутфорса: Kingminer пытается подобрать пароль системного администратора.

После того, как получен доступ к серверу, загружаются дополнительные скрипты, обеспечивающие полный контроль над машиной. При этом используется процедура xp_cmdshell, позволяющая запускать командную оболочку Windows через SQL-оператор.


Ботнет Kingminer, добывающий криптовалюту Monero, нейтрализует уязвимость, которой пользуется сам, чтобы отсечь конкурентов

Поскольку команда запускается в контексте службы MS SQL, наследуются те же права доступа, а они выше, чем привилегии стандартного пользователя. В конце концов, злоумышленники получают возможность установить на сервер всё, что им нужно через команды PowerShell.

Разбили в пух и прах проклятых конкурентов

По данным компании Sophos, в самых недавних кампаниях Kingminer использовался печально известный эксплойт EternalBlue, разработанный в АНБ США. Обновления для него давно уже выпущены, но уязвимых машин в мире до сих пор немало.

С другой стороны, как отмечают в Sophos, использование этого эксплойта уже далеко не всегда гарантирует успешность атаки.

Интересно, что скрипт EternalBlue, используемый Kingminer, практически идентичен тому, который использует другой аналогичный ботнет - Powerghost/Wannaminer.

Среди компонентов вредоноса отмечен VBScript, проверяющий, версию Windows: его интересуют системы с уязвимостью BlueKeep (CVE-2019-0708) в протоколе Windows RDP; то есть, работающие под управлением Windows XP, Windows Vista, Windows 7? Windows Server 2003 и Windows Server 2008.

Если уязвимость обнаружена, вредонос начинает проверять список установленных исправлений от Microsoft и в частности ищет те, которые связаны с Bluekeep.

Если Kingminer их не находит, он отключает на сервере Remote Desktop Protocol полностью, фактически предотвращая попытки производить аналогичные атаки.

Эксперты Sophos также обнаружили, что Kingminer компилирует компоненты для генерации криптовалют в DLL, которые подгружаются легитимным исполняемым файлом, снабжённым действующим сертификатом безопасности.

«Попытки вредоносных программ исправлять уязвимости, которыми они сами воспользовались для первичного заражения, - не новость, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Подобное наблюдается как раз в контексте криминальных криптомайнеров. Некоторые даже пытаются устанавливать патчи на серверы, чтобы отсечь попытки других вредоносов воспользоваться теми же уязвимостями. Это не так сложно сделать даже автоматически при условии полного административного доступа к заражённой машине».

источник
 
Сверху Снизу