Cybersecurity analisten ontdekten een enorme wereldwijde aanval met een gevaarlijke malware genaamd de Smominru botnet. Het is geschikt voor het manipuleren van de configuratie van de gecompromitteerde gastheren en is gevonden om een Monero cryptogeld mijnwerker die gebruik maakt van de beschikbare middelen en gebruikt ze om inkomsten voor de operators te genereren installeren. Lees de volledige analyse om meer over te leren, alsook om uit te vinden hoe je jezelf te beschermen tegen inkomende dreigingen. Als iemand ervaart de symptomen van een actieve botnet infectie kunnen ze onze diepgaande Smominru verwijdering handleiding te gebruiken om hun systemen te herstellen.
Smominru Botnet Aanvallen Surge: Bron van Infecties
Computer beveiliging analisten hebben geconstateerd dat een nieuw botnet aanval die erin geslaagd is om duizenden slachtoffers te infecteren in een zeer korte tijd. Op dit moment is er geen informatie over de identiteit van de hacker of strafrechtelijke collectief achter. Sommige van de deskundigen stellen dat de mensen erachter zijn een kleine hacker groep.
Voorheen een aantal van haar code werd gebruikt om bedreigingen verspreiden als Mirai waardoor het een krachtig wapen in de handen van iedere criminele. De verkregen monsters demonstreren dat de infectie methoden voornamelijk betrekking op geautomatiseerd penetratie testen. De aanval platform kan verschillende exploits die een breed scala van apparaten richten op te laden, servers en ivd-apparaten. Volgens de vrijgegeven rapporten de toenemende snelheid van infecties worden veroorzaakt door lage veiligheid en standaard referenties achtergelaten door de eigenaars. De effecten op databaseservers kan bijzonder verwoestende worden. Ze lopen meestal op Microsoft Windows-servers en hebben toegang tot zowel het internet en het interne netwerk. In veel gevallen zijn ze ook de administratieve controllers van de apparaten, zoals camera's en andere randapparatuur. Twee van de meest gebruikte exploits zijn de volgende:
- Eternalblue (CVE-2017-0144) - Dit is de bekende exploit volksmond wordt gebruikt tijdens de ransomware aanslagen WannaCry mei 2017. Zij exploiteren kwetsbaarheden in het SMB-protocol dat wordt gebruikt voor het delen van bestanden op de hedendaagse versies van Microsoft Windows.
- EsteemAudit (CVE-2017-0176) - Dit is een zwakte in de Smart Card authenticatie code die wordt gebruikt in de server-versies van Microsoft Windows.
Afhankelijk van de hacker de configuratie van de ingezette bedreiging kan iets anders dan de Smominru botnet: ransomware, Trojaanse paarden en etc. Maar de rapporten geven duidelijk aan dat de belangrijkste payload in alle campagnes tot nu toe lijkt te zijn Monero cryptogeld mijnwerker. De Smominru botnet aanvallen slachtoffers voornamelijk in Rusland, India, Brazilië, Taiwan en Oekraïne.
Smominru Botnet Analyse: Damage Potential Report
We zijn erin geslaagd om een aantal rapporten die demonstreren hoe de malware werkt zodra de doelstellingen worden gekozen te verkrijgen geweest. In vergelijking met andere soortgelijke bedreigingen maakt gebruik van een fee complex gedrag opeenvolging. Na kwetsbaarheid gedetecteerd de exploit code wordt automatisch gestart waarbij de infiltratie uitvoert.
Het volgende deel van de Smominru botnet infectie wordt gedaan met behulp van WMI scripts. Ze kunnen worden geprogrammeerd met behulp van verschillende populaire programmeertalen (PowerShell en VBScript bijvoorbeeld) welke downloads en aangrijpt op de belangrijkste malwaresoftware. Het is belangrijk op te merken dat zodra de malware wordt ingezet om het slachtoffer hosts krijgt het de mogelijkheid om de eigen processen met beheerdersrechten te creëren. Het kan ook aansluiten op andere toepassingen automatisch of als deel van de geïnstalleerde gedragspatronen. Zodra de infectie operationele een basisconfiguratie bestand geladen. Het kan variëren van het slachtoffer van het slachtoffer en een ontelbaar aantal verschillende patronen kunnen worden betrokken. De tweede fase laadt Trojan module die interessant rapporteert aan een secundaire hacker gecontroleerde server. Er zijn twee belangrijke benaderingen van deze:
- De Trojan code kan worden gecontroleerd door een andere groep, een populaire tactiek die soms op de ondergrondse hacker forums wordt voorgesteld. De criminelen kunnen high-profile inbraken van plan door zich te organiseren in groepen - de eerste zorgt voor de daadwerkelijke inbraken terwijl de tweede beheert de gevolgen daarvan en ingezet malware code.
- Als alle componenten en hacker gedragspatronen zijn de werken van dezelfde strafbare collectief dan is het gebruik van een aantal hacker servers. Als de belangrijkste is offline gaat dan zullen zij nog steeds de mogelijkheid hebben om de geïnfecteerde hosts te controleren.
De volgende stap installeert een cryptogeld mijnwerker die automatisch begint te profiteren van de beschikbare hardware resources. Het complex rekenbewerkingen mijne de Monero digitale valuta die wordt overgedragen aan de exploitanten als winst. Dit is één van de meest populaire alternatieven voor Bitcoin en de afgelopen weken hebben we een aantal grootschalige aanvallen die soortgelijke malware leveren gezien.
Een nieuwe golf van malware componenten kunnen Smominru botnet volgen. De laatste golf van toevoegingen kan leiden tot systeemveranderingen. Een voorbeeld is het orgaan van een hardnekkig stand van uitvoering die automatisch verhindert een handmatige verwijdering pogingen. In dergelijke gevallen is het gebruik van een kwaliteit anti-spyware oplossing nodig zou zijn om de actieve infecties te verwijderen. Als een Windows-register wijzigingen worden gemaakt van de gebruikers kunnen ervaren prestatieproblemen en mislukking toepassing of service.
Op dit moment wordt geschat dat ongeveer 500 000 computergebruikers worden beïnvloed door de meest recente aanval campagnes en hun aantal groeit gestaag. Er wordt aangenomen dat de gegenereerde winst bedraagt 8900 Monero die bij de huidige wisselkoers bedraagt circa $2,086,409.23.
Smominru Botnet Modular Framework Capabilities
Het feit dat het botnet is gemaakt met behulp van een modulaire structuur maakt het mogelijk de criminele groepen om verdere updates te creëren. We vermoeden dat de broncode online kan worden geplaatst in de hacker underground forums te koop of verhandeld worden tussen de verschillende groepen. De analisten er rekening mee dat dit soort bedreiging is gecategoriseerd als fileless. Dit betekent dat de gehele aanval kan worden veroorzaakt door scripts die alle verdere stappen in het geheugen van de gastheercomputer uitgevoerd totdat de dreiging volledig is geïnstalleerd.
Anti-virus scans kunnen worden vermeden als de gegevensverzameling module gedurende die eerste daden van inbraak. Direct na de scripts worden uitgevoerd de hackers kan een bepaald gedragspatroon in de configuratie van de malware te bedden. Het kan het systeem te scannen - zowel de harde schijf en uitvoeringsgeheugen gevoelige informatie. Er zijn twee grote categorieën van gegevens die kunnen worden geschetst:
- Persoonlijke gegevens - De hackers kunnen strings die gerelateerd zijn aan hun identiteit te oogsten. De malware motor is geprogrammeerd om allerlei informatie met betrekking tot de naam van het slachtoffer te verwerven, adres, plaats, voorkeuren en zelfs wachtwoorden.
- anonieme gegevens - Diverse statistieken met betrekking tot de versie van het besturingssysteem en de hardware componenten wordt verzameld door de motor.
In veel gevallen te wijten aan de diepe infectie de malware operators kunt de gegevens van de door de gebruiker geïnstalleerde toepassingen te halen, alsmede. Een populair voorbeeld is de web browser - de hackers kunnen de opgeslagen gegevens te oogsten: geschiedenis, bladwijzers, formuliergegevens, voorkeuren, cookies, wachtwoorden en accountgegevens. Met behulp van dezelfde mechanismen kunnen ze ook opleggen van een omleidingscode door aanpassing van de standaard startpagina, zoekmachine en nieuwe tabbladen pagina. Meestal zijn de slachtoffers worden doorgestuurd naar malware pagina's dat instituut tracking cookies en spion op de gebruikers.
Een deel van de verkregen monsters bleken te beschikken over een stealth bescherming functie die individueel geconfigureerd kan worden, afhankelijk van de aanval campagne. Met behulp van de gevonden informatie het botnet kan scannen op de aanwezigheid van anti-virus software, zandbak en debuggen omgevingen en virtuele machines. Ze kunnen worden omzeild of verwijderd worden en als de malware is in staat om dit te doen kan ervoor kiezen om zich te verwijderen om ontdekking te voorkomen.
Het virus bestanden kunnen ook worden geprogrammeerd om het te infecteren Windows map door de naam van de onderdelen ervan als systeembestanden en het plaatsen van hen daar. Wanneer deze wordt gebruikt in combinatie met een keylogger de hackers alle muisbewegingen en toetsaanslagen in een databank die wordt doorgegeven aan de hacker operators opnemen.
Tijdens de grondige code analyse werd ontdekt dat een deel van de geproduceerde malware samples worden ondertekend met de Chinese certificaten. Het is mogelijk dat de hacker groepen opereren vanuit de
Computergebruikers kunnen moet altijd alert voor malware-infecties. Een vrij aftasten dergelijke gevallen kan openbaren en maken een eenvoudige verwijdering.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: