Malware Wannamine ataca computadoras SMB no parcheadas con exploit EternalBlue

Cryptomining basó el brote de malware Wannamine atacando activamente a los usuarios de Windows en todo el mundo que utilizan el exploit de la NSA Eternalblue para penetrar en las computadoras habilitadas para SMB no parcheadas y obtener acceso privilegiado

Eternalblue Exploit se filtró de la NSA el año pasado y tuvo un gran impacto en todo el mundo al explotar el flujo de las SMB, lo que lleva a ataques masivos de WannaCry y NotPetya.

Muchas organizaciones aún no aplican el parche para Eternalblue Exploit que lanzó Microsoft en 2017 y los sistemas vulnerables son atacados continuamente por ciberdelincuentes para inyectar el malware Wannamine crypto mining.

Pocos meses antes de que el malware Wannamine ataque a los servidores de Open Redis que usan otro exploit de ejecución de código remoto para inyectar el cripto minero.

¿Cómo funciona Wannamine Malware?

Una etapa inicial de ataque comienza con la explotación de Eternalblue contra el servidor SMB no parcheado y una vez que se ejecutará, el nuevo proceso malicioso powershell.exe iniciará su ejecución.

Los atacantes usan varias técnicas poderosas de obfusticación dentro de la carga descargada con codificación base64 y algo de codificación de texto.

La carga útil descargada es muy grande y es imposible cargar todo en una sesión interactiva de ipython porque hace que cuelguen la mayoría de los editores.

El investigador desutilizó la carga útil que encuentran el código más PowerShell que es utilizado por el malware wannamine para moverse lateralmente a través de una red.

También contiene algo de blob binario, un texto más ofuscado con más código que intenta ejecutar el compilador .NET para compilar un archivo .NET DLL.

Más tarde, los investigadores encontraron el escáner PingCastle cuando cargan esa DLL en un desensamblador .NET.

El trabajo de PingCastle es mapear la red y encontrar la ruta más corta a la siguiente máquina explotable, tomando información SMB a través de los paquetes de respuesta enviados por los servidores SMB.

En este caso, el atacante copió el script de PowerShell de varios repositorios de GitHub. por ejemplo, la implementación de PowerShell Mimikatz es directa desde el repositorio invoke-mimikatz y el Mimikatz fue implementado mientras PingCastle se está ejecutando.

De acuerdo con la investigación de ciberason , "antes de descartar el cripto minero, la secuencia de comandos de PowerShell también cambiará la configuración de administración de energía en la máquina infectada, lo que ayuda a evitar que la máquina se quede dormida y maximice la disponibilidad de potencia minera".

Una vez que se reconfiguró la configuración de energía de la máquina de vicitms en la máquina, existen cientos de procesos de powershell.exe que utilizan muchos ciclos de CPU y se conectan a servidores de grupo de minería de datos.

La secuencia de comandos intentará enumerar todos los procesos que se conectan a los puertos de dirección IP 3333, 5555 y 7777 y, si hay procesos activos, la secuencia de comandos los terminará.

"Esta variante de Wannamine se conecta a grupos de minería en el puerto 14444 mientras que otras variantes de este ataque se conectan a grupos de minería en puertos más estandarizados como 3333, 5555 y 7777. Si cualquier otro proceso en esta máquina está conectado a grupos de minería en los puertos estándar, serán finalizados ".

En este caso, el malware wannamine sigue aprovechando el sistema sin parches en muchas organizaciones de todo el mundo, por lo que las organizaciones necesitan instalar parches de seguridad y actualizar las máquinas.

Semrush sigue a tu competencia


Fecha actualización el 2018-09-17. Fecha publicación el 2018-09-17. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
Malware Wannamine