Monero Bergleute sind eine der beliebtesten Kryptowährung bezogenen Malware, die in den letzten Monaten in Angriff Kampagnen verteilt werden. Die Hacker-Strategien scheinen sie in vielen verschiedenen Arten von Infiltrationsversuchen umfassen. Doch die jüngste Angriff Kampagnen scheinen auf eine neue Art von Taktik weltweit durch die Verwendung von zwei Monero Knappen gegen Computernetze gesetzt zu konzentrieren.
Angriff Kampagnen mit Doppel Monero Miners beschmutzte
Sicherheitsexperten und Analysten immer wieder Berichte für den laufenden Angriff Kampagnen erhalten, die Kryptowährung Knappen als primäre oder sekundäre Nutzlasten verfügen. Sie sind populär geworden, da nur ein kleines Skript geladen werden muss in den Speicher, um die komplexen Berechnungen zu starten. Die Bergleute laufen spezielle Software, die die verfügbaren Hardware-Ressourcen nutzen, um Kryptowährung zu erzeugen, die die kriminellen Betreiber weitergeleitet wird. Die Mehrheit der Bedrohungen Mine für die beliebtesten cryptocurrencies: Bitcoin, Monero und Astraleum.
Im Moment ist eine neue Art von Angriff Kampagnen wird gegen Computer-Netzwerke weltweit. Die Verbrecher zielen in erster Linie Datenbankserver eine entdeckte Sicherheitsanfälligkeit mit. Das identifizierte Problem ist CVE-2017-10271 die in der advisotry wie nachfolgend beschrieben:
Eine Schwachstelle im Server Oracle WebLogic Komponente der Oracle Fusion Middleware (Subkomponente: WLS Sicherheit). Unterstützte Versionen sind betroffen sind 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 und 12.2.1.2.0. Leicht ausnutzbare Schwachstelle ermöglicht nicht authentifizierten Angreifer mit Netzzugang über T3 Oracle WebLogic Server zu kompromittieren. Erfolgreiche Angriffe dieser Sicherheitsanfälligkeit kann in Übernahme von Oracle WebLogic Server führen. CVSS- 3.0 Base Score 7.5 (Verfügbarkeit Auswirkungen). CVSS- Vector: (CVSS-:3.0/VON:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H).
Der Hacker nutzt Exploit-Code, die oft mit automatisierten Hacker-Toolkits und Plattformen verwendet wird,. Durch automatisierte Befehle die Kriminellen können Tausende von Netzwerken in einer Art und Weise von Sekunden Ziel. Als ein Ergebnis der Sicherheitsanfälligkeit ausnutzt können die Kriminellen Netzwerk Zugriff auf die Server gewinnen sowie die Fähigkeit, die Kontrolle über die Systeme zu übernehmen. Die interessante Tatsache ist, dass während traditionelle Angriffe der Regel auf die Kontrolle über den betroffenen Servern Überholmanöver konzentrieren diese man sie mit Doppel Monero Knappen infiziert.
Die Doppel Monero Miners Nutzlast und seine Bedeutung
Die Taktik der Verwendung von Doppel Monero Bergleute ist neu, wie es in einer nicht-traditionelle Art und Weise verwendet wird,. Nachdem die Maschinen durch die separate miner Software sind auf den Opfer-Geräten eingeleitet Exploit-Code zwei negativ verändert haben. Die erste ist eine 64-Bit-Version, die die Standardoption und die Backup-Variante ist eine 32-Bit-kompilierte ausführbare Datei. Wenn die erste Datei nicht anspringt dann anweisen, die Angreifer die Malware die Backup-Option zu starten. Durch die Analyse aufgedeckt die Kampagnen der Sicherheitsexperten, dass verschiedene Versionen des Exploit-Code gespreizte werden - gibt es separate Test und Endfassungen. Dies bedeutet, dass der einzelne Hacker oder kriminelles Kollektiv hinter den Anschlägen sind in der laufenden Entwicklung aktiv beteiligt.
Monero Miners Execution Muster
Die Infektionen beginnen, nachdem die Verwundbarkeit Prüfung bestanden hat. Das Malware-Skript lädt drei Dateien in den Bergbaubetrieben auf den kompromittierten Maschinen durch:
- Javaupd.exe - Eine Bergmann-Instanz, die als Update für die Java-Laufzeitumgebung getarnt (JRE) die oft durch Computer-Anwender installiert, um zu laufen Java-basierte Anwendungen. Durch die beliebte App imitiert das Virus Entdeckung schwieriger, da in einigen Fällen die Service-Ressourcen können verwendet werden während der Ausführung mehr Hardware macht.
- startup.cmd - Dies ist das Autostart-Modul, das für die verantwortlich ist persistenter Zustand der Ausführung. Es wird verwendet, um automatisch die Malware-Code zu starten und andere Anwendungen verhindern, dass mit den Bergleuten zu stören.
- 3.exe - Eine Sekundär böswillige Instanz.
Die Auto-Start-Komponente mit den Monero Bergleuten zugeordnet ist, auf das System in dem Ordner platziert Startup. Danach wird es ausgeführt, und startet einen Befehl Powershell, die zwei geplanten Aufgaben schafft:
- Die erste Aufgabe, lädt die neuesten Versionen der Monero miner Instanzen von einem Hacker-gesteuerte Website. Die Zeichenfolge zeigt, dass die Aufgabe benannt ist als “Oracle Java-Update” und wird jeden auszuführen 80 Minuten, um mögliche Netzwerkprobleme zu negieren.
- Die zweite Aufgabe wird benannt “Oracle Java” und wird täglich ausführen und überprüfen, ob die erste Aufgabe erfolgreich abgeschlossen wurde.
Nachdem die Aufgaben vollständig gewesen sein startet das Steuerskript das entsprechende Skript durch die sekundäre Nutzlast läuft (3.exe). Es wird überprüft, ob das System in der Lage, die 64-Bit oder 32-Bit-Version des Codes und dann herunterlädt und führt die entsprechende Datei ausführen. Eine neue Datei wird heruntergeladen, welche logonui.exe genannt wird, die als Windows-Dienst registriert ist und aufgerufen “Microsoft Telemetry”. Die entsprechende Version (32 oder 64-bit) wird während dieser Phase der Malware-Initiations geladen.
Folgen des Doppel Monero Miners
Die Sicherheitsexperten beachten Sie, dass die installierten Monero Knappen einen sehr starken Einfluss auf die Leistung des Opfers Computer haben, können. Als zwei separate Instanzen auf den Hosts installiert sind die Opfer nicht in der Lage sein, alle von ihnen auf effiziente Art und Weise zu entfernen. Wir erinnern unsere Leser, dass der dauerhafte Zustand der Installation kann auch auf Änderungen in der Windows-Registrierung und Betriebssystem-Konfigurationsoptionen zusammenhängen. Solche Veränderungen können es sehr schwierig oder sogar unmöglich machen, die Infektionen mit manuellen Methoden zu entfernen. Die Sicherheitsexperten beachten Sie, dass die Monero Miner verfügt über ein Informationsbeschaffung Modul, das die Fähigkeit hat, die infizierten Rechner für andere Malware zu scannen als auch.
Da die Angriffsaktionen sind noch nicht abgeschlossen und die Verbrecher Identität ist noch unbekannt. Wir vermuten, dass aktualisierte Versionen zusätzliche Funktionalität bringen kann, verursacht noch gefährliche Systemänderungen und auch als Payload Abgabemechanismen verwendet werden kann,.
Wir erinnern unsere Leser, dass sie sich vor Gefahren schützen, indem Sie eine hochwertige Anti-Spyware-Lösung unter Verwendung von.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: