A Nemzeti Kibervédelmi Intézet riasztást ad ki a WannaMine kriptovaluta bányászszoftver gyors terjedése kapcsán.
A kriptovaluta bányászszoftverek a kompromittált rendszerek erőforrásait használják a kiberbűnözők számára történő haszonszerzés érdekében. Működésükkel növelt hálózati forgalmat, a rendszerek lassulását, illetve a normál üzemi hőfok feletti működést okozhatnak.
A naplóállományok előzetes elemzése ismert SQL sérülékenységek keresését mutatja, amely arra utal, hogy sérülékeny SQL szerverek lehetnek az elsődleges támadási vektorok. A WannaMine egy féreg típusú károkozó, amely az alábbi két technikát felhasználva próbál tovább terjedni a Windows-os hálózatokon:
- A Mimikatz használatával a hitelesített felhasználók jelszavait vagy hash-eit próbálja meg kinyerni a rendszerből (LSASS.EXE folyamat), majd azokat felhasználva továbbterjedni és újabb adatokat szerezni.
- A Wannacry zsarolóvírus kampány során is alkalmazott EternalBlue támadási módszert akkor veti be, ha az előzővel nem sikerült jelszavakat szerezni. Ezt a terjedési módszert az MS17-010 javítócsomag telepítésével lehet kivédeni, amelyet a Microsoft tavaly márciusban már elérhetővé tett a Windows felhasználók számára.
A GovCERT javasolja a weboldalán elérhető cikkben[1] található indikátorok alapján az esetlegesen fertőzött rendszerek beazonosítását, valamint a használatban lévő adatbázis kezelő szoftverek frissítettségének ellenőrzését.
A terjedést megakadályozó további javaslatok:
- A 3333, 5555, 7777, 8000 és 14444 TCP és UDP portok forgalmának tiltása – amennyiben lehetséges.
- Az SMBv1 használatának tiltása, valamint az SMBv2 és SMBv3 protokoll megfelelő tesztelés után történő használata.
- Csoport házirend segítségével a Sysinternals Suite programok (pl. PSExec) használatának tiltása.
- A Windows Credential Guard funkciójának használata, a jelszólopások meggátolására.
További információ: