1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Вредоносное приложение для майнинга криптовалют CoinMiner использует EternalBlue и WMI Вредоносное приложение для майнинга криптовалют CoinMiner использует EternalBlue и WMI

Тема в разделе "Троянское ПО, черви и другие вредоносы", создана пользователем x-sis, 22.08.2017.

  1. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Новое семейство вредоносных программ под названием CoinMiner приносит множество проблем обычным пользователям и компаниям. Новую угрозу очень трудно остановить или обнаружить из-за ее уникальных особенностей.

    [​IMG]

    Вредоносная программа представляет собой майнер криптовалют, который использует эксплойт EternalBlue из коллекции АНБ для заражения жертв, а также инструментарий управления Windows (WMI) для запуска управляющих команд на инфицированной системе.

    Кроме того, CoinMiner исполняется в оперативной памяти (является бесфайловой угрозой) и использует несколько уровней командных серверов для развертывания необходимых для проведения атаки скриптов и компонентов.

    Данные особенности зловреда позволяют обходить защиту устаревших систем, которая не соответствует новейшим методикам атак.

    Как избежать заражения CoinMiner

    Отключаем SMBv1

    Чтобы обезопасить себя от CoinMiner, необходимо принять несколько мер предосторожности.

    Простейшим решением является предотвращение первого этапа заражения вредоносным ПО, которое осуществляется с помощью эксплойта EternalBlue. Данный эксплойт был украден у Агентства Национальной Безопасности США хакерской группировкой Shadow Brokers, а затем применялся в атаках WannaCry и NotPetya.

    Пользователи должны убедиться, что у них на компьютере установлен патч безопасности MS17-010 от Microsoft или, по крайней мере, отключен протокол SMBv1. В этом случае у CoinMiner не будет доступа к системе.

    Отключаем WMI

    В ситуациях, когда протокол SMB имеет решающее значение для сетевой совместимости, у вас все еще остается возможность избежать заражения CoinMiner. Нужно отключить инструментарий управления Windows, встроенный в операционную систему.

    CoinMiner использует WMI для загрузки скриптов и других компонентов, необходимых для обеспечения устойчивости на каждом хосте, а затем для загрузки и запуска фактического двоичного файла CoinMiner.

    Компания Trend Micro, обнаружившая CoinMiner на этой неделе, рекомендует отключить WMI в тех системах, где это не требуется, или, по крайней мере, ограничивать доступ к WMI учетной записью администратора, доступной только для ИТ-персонала. Для отключения WMI нужно выполнить в командной строке команду net stop winmgmt. Обратите внимание, что связанные службы также будут остановлены, в частности SMS Agent Host и Брандмауэр Windows.

    CoinMiner является не первым майнером криптовалют, который использует EternalBlue для заражения жертв. Ранее майнер Adylkuzz использовал этот же эксплойт из набора АНБ для инфицирования систем с целью добычи криптовалют. С другой стороны, CoinMiner является одним из немногих бесфайловых криптомайнеров.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    HADD-NEELS, VlaDDoS, лд и ещё 1-му нравится это.
  2. лд
    В тупике

    лд Известный Старожил

    Регистрация:
    05.10.2016
    Сообщения:
    118
    Симпатии:
    221
    Лучшие ответы:
    0
    Пол:
    Мужской
    Вопрос! Существуют программы для домашнего майненга так сказать. Или они все вредоносы?
     
    VlaDDoS и ANDYBOND нравится это.
  3. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Нет. Это легитимное ПО:

    Майнер в смысле ПНП, когда такая деятельность происходит скрыто и вы ни о чем не подозреваете, тогда речь идёт о вирусе.
     
    HADD-NEELS, лд, VlaDDoS и ещё 1-му нравится это.
  4. лд
    В тупике

    лд Известный Старожил

    Регистрация:
    05.10.2016
    Сообщения:
    118
    Симпатии:
    221
    Лучшие ответы:
    0
    Пол:
    Мужской
    Я про то что существует программа для домашнего майненга(устанавливаешь ее на свой комп. и он потихоньку работает и тем самым майнит)? Ну например ушел на работу а комп работает и что бы в пустую не работал пускай майнет не много))) Или не целесообразно?
     
    ANDYBOND и HADD-NEELS нравится это.
  5. HADD-NEELS
    Креативный

    HADD-NEELS Лидер Команда форума Супермодератор

    Регистрация:
    12.10.2016
    Сообщения:
    1.784
    Симпатии:
    3.791
    Лучшие ответы:
    0
    Пол:
    Мужской
    Целесообразно,но для этого нужно иметь собственную электростанцию или бесплатную электроэнергию + карту премиум-класса ;),иначе( имхо ) "труды" не стоят "свеч"
     
    ANDYBOND и x-sis нравится это.
  6. лд
    В тупике

    лд Известный Старожил

    Регистрация:
    05.10.2016
    Сообщения:
    118
    Симпатии:
    221
    Лучшие ответы:
    0
    Пол:
    Мужской
    есть "холявная" электроэнергия. :smile:а проги то существуют?
     
    ANDYBOND и HADD-NEELS нравится это.
  7. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Процесс добычи криптовалюты есть выполнения определенных последовательных задач, т.е. алгоритма. Для выполнения алгоритма на ЭВМ как раз и пишут программы.
     
    ANDYBOND и HADD-NEELS нравится это.

Поделиться этой страницей

Загрузка...