-
Ajouter aux favoris
Miners de grande envergure
jeudi 24 mai 2018
Beaucoup se souviennent encore de l’épidémie de WannaCry, à laquelle le projet " Lumières sur la sécurité " a dédié plusieurs publications. Nous vous rappelons un fait :
Lors d'une étude, des chercheurs ont connecté à Internet un ordinateur ayant une vulnérabilité EternalBlue et ils s'attendaient à ce que l'ordinateur attrape WannaCry. Mais à leur grande surprise, l'ordinateur a été contaminé par un autre virus plus silencieux, le virus miner Adylkuzz. Les chercheurs ont reproduit la procédure à plusieurs reprises en connectant un ordinateur sain à Internet, mais toujours avec le même résultat : après environ 20 minutes, il se retrouvait contaminé par le virus Adylkuzz et connecté à son botnet.
Bien que WannaCry soit désormais connu, le virus miner Adylkuzz, plus discret, a pu infecter autant d’ordinateurs en utilisant les mêmes méthodes de propagation et de contamination des ordinateurs tournant sous Windows que celles de Wanna Cry. Et la propagation d'Adylkuzz peut s'avérer encore plus massive puisque ce malware a été diffusé dans une période allant du 24 avril au 2 mai 2017.
https://habrahabr.ru/post/328932
https://null0x4d5a.blogspot.ru/2017/05/behavioral-analysis-of-adylkuzz.html
Il s’avère que lorsque tout le monde s'attendait à WannaCry, Adylkuzz se diffusait encore plus facilement. Et personne n’en n’a parlé.
Nous avons déjà évoqué ce Trojan comme exemple montrant que parfois, les médias accordent plus d'attention à des malwares qui ne sont pas les plus dangereux ni les plus répandus.
De plus, Adylkuzz est beaucoup plus intéressant que WannaCry. Ce miner avancé non seulement lançait un module de mining mais il infectait également les processus lancés.
Notons cette particularité d’Adylkuzz : après avoir contaminé l'ordinateur, il fermait le port 445 afin d’éviter que d’autres programmes malveillants comme WannaCry n’infectent l'ordinateur.
Une fois introduit sur l'ordinateur de sa victime, Adylkuzz le scanne à la recherche de ses propres copies, il les désactive et bloque les communications SMB, puis détermine l'adresse IP publique de l'ordinateur contaminé et télécharge ensuite des instructions et un miner de crypto-monnaie.
La figure ci-dessous montre une capture d’écran d’un des " porte-monnaie" liés à une attaque. " Hash rate " montre la vitesse à laquelle un exemplaire du botnet extrait de la cryptomonnaie Monero, " Total paid " montre le montant total de monnaie extrait.
Après le lancement réussi de l’exploit via le protocole SMB, les attaquants utilisaient le code du noyau pour s'introduire dans le processus lsass.exe qui est toujours présent dans Windows. Cette méthode de contamination permettait au Trojan de " survivre ". La plupart de ses actions étaient effectuées en utilisant les utilitaires natifs de Windows ou à l'aide d'autres outils inoffensifs. .
Entre autres, les auteurs de virus créaient un nouvel utilisateur, il téléchargeait les utilitaires dont ils avaient besoin et les mettaient à jour lorsque cela était nécessaire. Si des versions obsolètes étaient installées sur l'ordinateur, les pirates ajoutaient tout le nécessaire dans l'auto-démarrage. Ils utilisaient également l'utilitaire Mimikatz pour récolter des données d'authentification de l'utilisateur et afin de pouvoir accéder aux postes du réseau pour les transformer en machines destinées à extraire de la crypto-monnaie Monero.
Vous pouvez en savoir plus ici et ici . Ce programme malveillant est détecté par Dr.Web comme Backdoor.Spy.3365.
En tant que miner, Adylkhuzz consomme toutes les ressources disponibles et il contrôle le gestionnaire de tâches taskmgr.exe de sorte qu'il affiche un statut de l'OS qui semble « normal ».
Le miner n’est donc pas un simple ' programme en cours d’exécution ".
Un autre miner avancé est connu comme CoinMiner (dans la classification Dr.Web - Trojan.BtcMine.1505). Il utilise également la vulnérabilité EternalBlue de la collection de la NSA à des fins de contamination (la vulnérabilité est utilisée pour lancer et supprimer un backdoor dans l'OS), mais pour lancer les commandes sous les systèmes contaminés, il utilise des scripts WMI (Windows Management Instrumentation). CoinMiner n’est pas enregistré sur le disque sous forme d'un fichier (il représente une menace sans corps) et il utilise WMI pour cacher sa présence. L'application WMI Standard Event (scrcons.exe) est utilisée pour exécuter des scripts.
WMI est un composant standard de Windows conçu pour les tâches de gestion quotidiennes, y compris pour leur automatisation et pour démarrer des programmes à un moment précis, pour obtenir des informations sur les applications installées, surveiller les changements dans les dossiers.
Mais les scénarios WMI sont des scripts JScript.....
Le projet Lumières sur la sécurité recommande
- Les miners ne sont pas seulement des Trojans ou des utilitaires. Ce sont également des vers qui se propagent via des vulnérabilités.
- La négligence à l’égard des mesures élémentaires de sécurité peut coûter cher. Les exemples de miners tels que CoinMiner et Adylkuzz montrent que pour la protection contre ce type de menace, il est nécessaire de garder le système à jour et d'installer toutes les mises à jour requises.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 0 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Неуёмный Обыватель
20:02:17 2018-07-17
Bernard
10:17:03 2018-05-24
Il n'est pas superflu d'ajouter qu'il est important que l'antivirus signale lorsque les mises à jour ne sont pas effectuées depuis un certain temps pour le rappeler à l'utilisateur distrait.
Dr Web le fait...certains autres antivirus d'autres éditeurs n'alertent pas l'utilisateur même si les mises à jour sont obsolètes