サイバーセキュリティアナリストは、Smominruボットネットと呼ばれる危険なマルウェアを運ぶ大規模な世界規模の攻撃を発見しました. 侵害されたホストの構成を操作することができ、利用可能なリソースを利用してオペレーターの収入を生み出すためにそれらを使用するMonero暗号通貨マイナーをインストールすることがわかっています. それについてもっと学ぶために完全な分析を読んでください, 入ってくる脅威から身を守る方法を見つけるだけでなく. 誰かがアクティブなボットネット感染の症状を経験した場合、彼らは私たちの詳細なSmominru除去ガイドを使用してシステムを復元することができます.
Smominruボットネット攻撃の急増: 感染源
コンピュータセキュリティアナリストは、非常に短時間で数千人の被害者に感染した新しいボットネット攻撃を検出しました. 現時点では、その背後にあるハッカーまたは犯罪集団の身元に関する情報はありません。. 一部の専門家は、その背後にいる人々は小さなハッカーグループであると提案しています.
以前は、そのコードの一部が次のような脅威を拡散するために使用されていました みらい それはすべての犯罪者の手に強力な武器になります. 得られたサンプルは、感染方法が主に関連していることを示しています 自動侵入テスト. 攻撃プラットフォームは、さまざまなアプライアンスを標的とするさまざまなエクスプロイトをロードできます, サーバーとIoTデバイス. 発表されたレポートによると、感染率の増加は、所有者が残したセキュリティの低さとデフォルトの資格情報が原因です。. への影響 データベースサーバー 特に壊滅的である可能性があります. これらは通常、Microsoft Windowsサーバーで実行され、インターネットと内部ネットワークの両方にアクセスできます。. 多くの場合、カメラやその他の周辺機器などのデバイスの管理コントローラーでもあります。. 最も広く使用されているエクスプロイトの2つは次のとおりです:
- EternalBlue (CVE-2017-0144) —これは、5月のWannaCryランサムウェア攻撃中に一般的に使用されるよく知られたエクスプロイトです。 2017. これらは、最新バージョンのMicrosoftWindowsでファイル共有に使用されるSMBプロトコルの脆弱性を悪用します。.
- EsteemAudit (CVE-2017-0176) —これは、MicrosoftWindowsのサーバーバージョンで使用されるスマートカード認証コードの弱点です。.
ハッカーの構成によっては、展開される脅威はSmominruボットネット以外のものになる可能性があります: ランサムウェア, トロイの木馬など. ただし、レポートは、これまでのすべてのキャンペーンの主なペイロードが モネロ暗号通貨マイナー. Smominruボットネットは、主に ロシア, インド, ブラジル, 台湾 と ウクライナ.
Smominruボットネット分析: 損傷の可能性のあるレポート
ターゲットが選択されるとすぐにマルウェアがどのように動作するかを示すいくつかのレポートを取得することができました. 他の同様の脅威と比較して、それは妖精の複雑な行動シーケンスを使用します. 脆弱性が検出された後、侵入を実行するエクスプロイトコードが自動的に起動されます.
Smominruボットネット感染の次の部分は、WMIスクリプトを使用して行われます. それらは、いくつかの一般的なプログラミング言語を使用してプログラミングできます (たとえば、PowerShellとVBScript) メインのマルウェアエンジンをダウンロードして使用します. マルウェアが被害者のホストに配備されると、管理者権限で独自のプロセスを作成できるようになることに注意することが重要です。. また、自動的に、またはインストールされた動作パターンの一部として、他のアプリケーションにフックすることもできます. 感染が機能するようになると、基本的な構成ファイルがロードされます. それは被害者ごとに異なる可能性があり、無数の異なるパターンが関与する可能性があります. 第2段階は トロイの木馬モジュール 興味深いことに、 セカンダリハッカー制御サーバー. これには2つの主なアプローチがあります:
- トロイの木馬コードは別のグループによって制御される可能性があります, 地下のハッカーフォーラムで時々提案される人気のある戦術. 犯罪者は、グループに編成することで注目度の高い侵入を計画できます。最初の侵入は実際の侵入を処理し、2番目の侵入は結果として生じる影響と展開されたマルウェアコードを管理します。.
- すべてのコンポーネントとハッカーの行動パターンが同じ犯罪集団の作品である場合、複数のハッカーサーバーを使用する. メインのホストがオフラインになった場合でも、感染したホストを制御する機能はあります.
次のステップでは、 暗号通貨マイナー 利用可能なハードウェアリソースを自動的に利用し始めます. 複雑なコンピューティング操作は、 Moneroデジタル通貨 これは利益としてオペレーターに送金されます. これはビットコインの最も人気のある代替手段の1つであり、過去数週間にわたって、同様のマルウェアを配信する大規模な攻撃がいくつか見られました。.
マルウェアコンポーネントの別の波がSmominruボットネットに続く可能性があります. 追加の最後の波はにつながる可能性があります システムの変更. 例は、 永続的な実行状態 これにより、ユーザーによる手動による削除の試行が自動的に防止されます. このような場合、アクティブな感染を除去するには、高品質のスパイウェア対策ソリューションを使用する必要があります。. もしあれば Windowsレジストリの変更 ユーザーが体験できるように作られています パフォーマンスの問題 と アプリケーションまたはサービスの障害.
現時点では、 500 000 コンピュータユーザーは最新の攻撃キャンペーンの影響を受け、その数は着実に増加しています. 生成された利益は 8900 今日の為替レートで約に達するモネロ $2,086,409.23.
Smominruボットネットモジュラーフレームワーク機能
ボットネットがモジュラーフレームワークを使用して作成されているという事実により、犯罪グループはさらに更新を作成できます. ソースコードは、ハッカーの地下フォーラムにオンラインで投稿されたり、さまざまなグループ間で取引されたりする可能性があると思われます。. アナリストは、このタイプの脅威は次のように分類されることに注意してください。 ファイルレス. これは、脅威が完全にインストールされるまで、ホストコンピュータのメモリ内の以降のすべてのステップを実行するスクリプトによって、攻撃全体が引き起こされる可能性があることを意味します。.
次の場合、アンチウイルススキャンを回避できます。 情報収集モジュール 侵入の最初の行為の間に従事している. スクリプトが実行された直後に、ハッカーはマルウェアの構成に特定の動作パターンを埋め込むことができます. システムをスキャンすることができます—機密情報のためにハードドライブと実行中のメモリの両方. 概説できるデータの2つの主要なカテゴリがあります:
- 個人データ —ハッカーは自分の身元に関連する文字列を収集できます. マルウェアエンジンは、被害者の名前に関連するあらゆる種類の情報を取得するようにプログラムされています, 住所, 位置, 設定、さらにはパスワード.
- 匿名データ —オペレーティングシステムのバージョンとハードウェアコンポーネントに関連するさまざまな統計がエンジンによって収集されます.
多くの場合、感染が深刻なため、マルウェアのオペレーターはユーザーがインストールしたアプリケーションからもデータを取得できます。. 人気のある例はWebブラウザです—ハッカーは保存されたデータを収集できます: 歴史, ブックマーク, フォームデータ, 環境設定, クッキー, パスワードとアカウントの資格情報. 同じメカニズムを使用して、彼らはまた課すことができます リダイレクトコード デフォルトのホームページを変更する, 検索エンジンと新しいタブのページ. 通常、被害者は、Cookieの追跡を開始し、ユーザーをスパイするマルウェアページにリダイレクトされます。.
得られたサンプルのいくつかは、 ステルス保護 攻撃キャンペーンに応じて個別に設定できる機能. 取得した情報を使用して、ボットネットはウイルス対策ソフトウェアの存在をスキャンできます, サンドボックスとデバッグ環境および仮想マシン. それらはバイパスまたは削除することができ、マルウェアがそれを実行できない場合は、検出を回避するために自身を削除することを選択できます.
ウイルスファイルは、感染するようにプログラムすることもできます ウィンドウズ コンポーネントの名前をシステムファイルに変更してそこに配置することにより、フォルダ. これをと組み合わせて使用する場合 キーロガー ハッカーは、ハッカーのオペレーターに中継されるデータベースにすべてのマウスの動きとキーストロークを記録できます.
徹底的なコード分析中に、生成されたマルウェアサンプルの一部が中国の証明書を使用して署名されていることが発見されました. ハッカーグループが またはサーバーの1つがそこにあります.
コンピュータユーザーは、マルウェア感染に常に注意を払う必要があります. 無料のスキャンでそのようなインスタンスを明らかにし、簡単に削除することができます.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法