WannaMine kriptobányász támadási kampány

Ismertté vált egy káros kód terjedése, amely a fertőzött számítógépeket különböző kriptovaluták bányászatára használja fel és elsősorban kormányzati rendszereket céloz.

A naplóállományok előzetes elemzése ismert SQL sérülékenységek keresését mutatja, amely arra utal, hogy sérülékeny SQL szerverek lehetnek az elsődleges támadási vektorok. A WannaMine egy féreg típusú károkozó, amely az alábbi két technikát felhasználva próbál tovább terjedni a Windows-os hálózatokon: 

1.  A Mimikatz technika használatával a hitelesített felhasználók jelszavait vagy hash-eit próbálja meg kinyerni a rendszerből (LSASS.EXE folyamat), majd azokat felhasználva továbbterjedni és újabb adatokat szerezni.

2.  A Wannacry zsarolóvírus kampány során is alkalmazott EternalBlue támadási módszert akkor veti be, ha az előzővel nem sikerült jelszavakat szerezni. Ezt a támadást az MS17-010javítócsomag telepítésével lehet kivédeni, amelyet a Microsoft tavaly márciusban tettelérhetővé a Windows felhasználók számára.

A Kormányzati Eseménykezelő Központ a biztonsági frissítés (MS17-010) haladéktalan telepítését javasolja.

További védekezési javaslatok

  • Tiltsa a 3333555577778000 és 14444 TCP és UDP portok forgalmát - amennyiben nincs oka használni!
  • Tiltsa az SMBv1 használatát és az SMBv2, valamint az SMBv3 protokollt csak megfelelő tesztelés után használja!
  • Csoport házirend segítségével tiltsa a Sysinternals Suite programok (pl. PSExec) használatát!
  • Használja a Windows Credential Guard funkcióját, amely a jelszólopásokat gátolja!

A fertőződésre utaló indikátorok:

Adatforgalom a 3333555577778000 és 14444 portokon az alábbi domain-ek felé:

  • xmr-eu1.nanopool[.]org
  • xmr-eu2.nanopool[.]org
  • xmr-us-east1.nanopool[.]org
  • xmr-us-west1.nanopool[.]org
  • xmr-asia1.nanopool[.]org
  • mine.moneropool[.]com
  • mine.xmrpool[.]net
  • 195.22.127[.]157:8000
  • 93.174.93[.]73:8000
  • 118.184.48[.]95

Az alábbi fájlok megléte:

  • Info3.ps1
  • MD5: 9c91b5cf6eced54abb82d1050c5893f2 (2/7/18)
  • MD5: ad2b7724763e83f081323de6a852b004 (2/8/18)
  • Info6.ps1
  • MD5: 3aad3fabf29f9df65dcbd0f308ff0fa8 (2/7/18)
  • MD5: a8ba371ad2cc8612de7f129cb3a04f19 (2/8/18)

A káros szoftver az alábbi pénztárcát (wallet) használja:

  • hxxps://xmr[.]nanopool[.]org/account/4B1Fcq4Nvm288Tv1M5nYZX5DdRffLBo5bPLa5Y9L7Ye5JaJSSKqMd5M1mAcdvfi6FdamMNWeE7zAKGn8tfg7SXg65VAvG2f

Hivatkozások:

[1]https://www.sans.org/reading-room/whitepapers/detection/mimikatz-overview-defenses-detection-36780

[2]https://nakedsecurity.sophos.com/2018/01/31/what-are-wannamine-attacks-and-how-do-i-avoid-them/?cmp=26103

[3]http://www.cert-hungary.hu/sites/default/files/news/ms17-010_frissites_ellenozrese_vegfelhasznaloknak.pdf