Gli analisti di sicurezza informatica hanno scoperto un massiccio attacco in tutto il mondo portando un pericoloso di malware chiamato botnet Smominru. E 'in grado di manipolare la configurazione degli host compromessi ed è stato trovato installare un criptovaluta minatore Monero che sfrutta le risorse disponibili e li utilizza per generare reddito per gli operatori. Leggi l'analisi completa per saperne di più, così come per scoprire come proteggersi dalle minacce in arrivo. Se qualcuno sperimenta i sintomi di un'infezione botnet attive che possono utilizzare la nostra approfondita guida rimozione Smominru a ripristinare i loro sistemi.
Smominru Botnet Attacchi Surge: Fonte di infezioni
gli analisti di sicurezza informatica rilevato che un nuovo attacco botnet che è riuscito a infettare migliaia di vittime in un tempo molto breve. Al momento non ci sono informazioni circa l'identità degli hacker o collettiva criminale dietro di esso. Alcuni degli esperti propongono che le persone dietro di esso sono un piccolo gruppo di hacker.
In precedenza alcuni del suo codice è stato utilizzato per diffondere minacce come Mirai che lo rende un'arma potente nelle mani di ogni criminale. I campioni ottenuti vetrina che i metodi di infezione riguardano principalmente test automatizzati penetrazione. La piattaforma attacco può caricare vari exploit che colpiscono una vasta gamma di apparecchi, server e dispositivi IoT. Secondo i rapporti pubblicati il crescente tasso di infezioni sono causate da credenziali basse di sicurezza e di default lasciate dai proprietari. Gli effetti su server di database può essere particolarmente devastanti. Di solito eseguito su server Microsoft Windows e di avere accesso sia a Internet e la rete interna. In molti casi, essi sono anche i controllori amministrativi di dispositivi quali fotocamere e altre periferiche. Due degli exploit più utilizzati sono i seguenti:
- EternalBlue (CVE-2017-0144) - Questo è il ben noto exploit comunemente usato durante gli attacchi ransomware WannaCry a maggio 2017. Essi sfruttano vulnerabilità nel protocollo SMB, che viene utilizzato per la condivisione di file sulle versioni contemporanee di Microsoft Windows.
- EsteemAudit (CVE-2017-0176) - Questa è una debolezza nel codice di autenticazione Smart Card usata nelle versioni server di Microsoft Windows.
A seconda della configurazione di hacker minaccia schierato può essere qualcosa di altro che la botnet Smominru: ransomware, Trojan e ecc. Tuttavia i rapporti indicano chiaramente che il carico utile principale in tutte le campagne finora sembra essere il Monero criptovaluta minatore. I Smominru attacchi botnet vittime situati principalmente in Russia, India, Brasile, Taiwan e Ucraina.
Analisi Smominru Botnet: Danni Rapporto Potenziale
Siamo stati in grado di ottenere diversi rapporti che mostrano come funziona il malware non appena vengono scelti gli obiettivi. In confronto con altre minacce simili utilizza una sequenza di comportamento complesso fata. Una volta rilevato una vulnerabilità l'exploit codice viene avviato automaticamente che esegue l'infiltrazione.
La parte successiva della infezione botnet Smominru viene fatto utilizzando script WMI. Essi possono essere programmati utilizzando diversi linguaggi di programmazione (PowerShell e VBScript per esempio) che scarica ed impegna il motore principale del malware. E 'importante notare che una volta che il malware viene distribuito alla vittima ospita guadagna la possibilità di creare i propri processi con privilegi amministrativi. Può anche collegare ad altre applicazioni automaticamente o come parte dei modelli di comportamento installati. Una volta che l'infezione sono operativi un file di configurazione di base è caricata. Può variare da vittima a vittima e un infinito numero di modelli diversi possono essere coinvolti. La seconda fase carica un modulo Trojan che riporta ad un modo interessante server di hacker controllato secondaria. Ci sono due approcci principali per questo:
- Il codice Trojan può essere controllato da un altro gruppo, una tattica popolare che a volte è proposto sul forum degli hacker sotterranei. I criminali possono pianificare intrusioni alto profilo organizzandosi in gruppi - il primo si occupa delle effettive intrusioni mentre la seconda gestisce gli effetti conseguenti e codice malware distribuito.
- Se tutti i componenti e modelli di comportamento degli hacker sono le opere dello stesso collettivo criminale allora l'uso di diversi server degli hacker. Se il principale va offline allora avrà ancora la capacità di controllare gli host infettati.
Il passo successivo installa un criptovaluta minatore che avvia automaticamente a sfruttare le risorse hardware disponibili. Le operazioni di calcolo complesso minerario del moneta digitale Monero che viene trasferito agli operatori come profitto. Questa è una delle alternative più popolari per Bitcoin e nel corso degli ultime settimane abbiamo visto numerosi attacchi su larga scala in grado di offrire il malware simili.
Un'altra ondata di componenti malware può seguire il botnet Smominru. L'onda finale aggiunta possa provocare modifiche al sistema. Un esempio è l'istituzione di un stato persistente di esecuzione che impedisce automaticamente tentativi di rimozione manuale utente. In tali casi l'uso di una soluzione anti-spyware di qualità sarebbe necessaria per rimuovere le infezioni attive. Se uno qualsiasi modifiche di registro di Windows sono realizzati gli utenti potrebbero verificarsi problemi di prestazione e applicazione o servizio fallimento.
Al momento si stima che circa 500 000 gli utenti di computer sono influenzati dalle ultime campagne di attacco e il loro numero cresce costantemente. Si ritiene che il profitto generato è pari a 8900 Monero che alla quantità dei tassi di cambio di oggi per giro $2,086,409.23.
Funzionalità Framework Smominru Botnet modulari
Il fatto che la botnet è realizzato con una struttura modulare permette ai gruppi criminali di creare ulteriori aggiornamenti. Abbiamo il sospetto che il codice sorgente può essere pubblicato on-line nel forum underground degli hacker per la vendita o scambiati tra i vari gruppi. Gli analisti di notare che questo tipo di minaccia è classificato come fileless. Ciò significa che l'intero attacco può essere causato da script che eseguono gli ulteriori passi nella memoria del computer host fino a quando la minaccia è installato completamente.
scansioni anti-virus possono essere evitati se il modulo di raccolta dati è impegnata nei primi atti di intrusione. Subito dopo gli script vengono eseguiti gli hacker possono incorporare un particolare modello di comportamento nella configurazione del del malware. E 'in grado di eseguire la scansione del sistema - sia il disco rigido e la memoria in esecuzione per le informazioni sensibili. Ci sono due categorie principali di dati che possono essere delineate:
- Dati personali - Gli hacker possono raccogliere le stringhe che sono legati alla loro identità. Il motore del malware è programmato per acquisire tutti i tipi di informazioni relative al nome della vittima, indirizzo, posizione, preferenze e anche le password.
- dati anonimi - Diverse le statistiche relative alla versione del sistema operativo e dei componenti hardware sono raccolti dal motore.
In molti casi, a causa dell'infezione profonda gli operatori del malware possono anche recuperare i dati dalle applicazioni installate dall'utente, nonché. Un esempio popolare è il browser web - gli hacker possono raccogliere i dati memorizzati: storia, segnalibri, dati del modulo, Preferenze, biscotti, password e credenziali di account. Utilizzando gli stessi meccanismi possono anche imporre un reindirizzare il codice modificando la home page predefinita, motore di ricerca e nuova pagina schede. Di solito le vittime vengono reindirizzati a pagine malware che istituto di tracking cookie e spiare gli utenti.
Alcuni dei campioni ottenuti sono stati trovati per caratterizzare un protezione invisibile caratteristica che può essere configurato individualmente a seconda della campagna di attacco. Utilizzando le informazioni recuperate la botnet può eseguire la scansione per la presenza di software anti-virus, ambienti sandbox e di debug e le macchine virtuali. Essi possono essere bypassati o rimossi e se il malware è in grado di farlo è possibile scegliere di eliminare se stesso per evitare il rilevamento.
I file di virus possono anche essere programmati per infettare il Windows cartella rinominando i suoi componenti come i file di sistema e metterli lì. Quando questo viene utilizzato in combinazione con un keylogger gli hacker in grado di registrare tutti i movimenti del mouse e le battiture in una banca dati che viene trasmesso agli operatori degli hacker.
Durante l'analisi del codice approfondita si è scoperto che alcuni dei campioni di malware prodotti sono firmati utilizzando i certificati cinesi. È possibile che i gruppi di hacker operano dal
Gli utenti di computer possono devono essere sempre in allerta per le infezioni di malware. Una scansione gratuita può rivelare questi casi e consentire una semplice rimozione.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: