Jelenlegi hely

WannaMine kriptovaluta bányászszoftver

A Nemzeti Kibervédelmi Intézet riasztást ad ki a WannaMine kriptovaluta bányászszoftver gyors terjedése kapcsán.

A kriptovaluta bányászszoftverek a kompromittált rendszerek erőforrásait használják a kiberbűnözők számára történő haszonszerzés érdekében. Működésükkel növelt hálózati forgalmat, a rendszerek lassulását, illetve a normál üzemi hőfok feletti működést okozhatnak.

A naplóállományok előzetes elemzése ismert SQL sérülékenységek keresését mutatja, amely arra utal, hogy sérülékeny SQL szerverek lehetnek az elsődleges támadási vektorok. A WannaMine egy féreg típusú károkozó, amely az alábbi két technikát felhasználva próbál tovább terjedni a Windows-os hálózatokon:

  1. A Mimikatz használatával a hitelesített felhasználók jelszavait vagy hash-eit próbálja meg kinyerni a rendszerből (LSASS.EXE folyamat), majd azokat felhasználva továbbterjedni és újabb adatokat szerezni.
  2. A Wannacry zsarolóvírus kampány során is alkalmazott EternalBlue támadási módszert akkor veti be, ha az előzővel nem sikerült jelszavakat szerezni. Ezt a terjedési módszert az MS17-010 javítócsomag telepítésével lehet kivédeni, amelyet a Microsoft tavaly márciusban már elérhetővé tett a Windows felhasználók számára.

A GovCERT javasolja a weboldalán elérhető cikkben[1] található indikátorok alapján az esetlegesen fertőzött rendszerek beazonosítását, valamint a használatban lévő adatbázis kezelő szoftverek frissítettségének ellenőrzését.

A terjedést megakadályozó további javaslatok:

  • A 3333, 5555, 7777, 8000 és 14444 TCP és UDP portok forgalmának tiltása – amennyiben lehetséges.
  • Az SMBv1 használatának tiltása, valamint az SMBv2 és SMBv3 protokoll megfelelő tesztelés után történő használata.
  • Csoport házirend segítségével a Sysinternals Suite programok (pl. PSExec) használatának tiltása.
  • A Windows Credential Guard funkciójának használata, a jelszólopások meggátolására.

További információ: