ΑρχικήsecurityGhostminer: Η νέα παραλλαγή χρησιμοποιεί fileless τεχνική

Ghostminer: Η νέα παραλλαγή χρησιμοποιεί fileless τεχνική

Eρευνητές ασφάλειας της Minerva Labs ανακάλυψαν μια νέα παραλλαγή του GhostMiner που χρησιμοποιεί κώδικα PowerShell για να ανιχνεύσει άλλους miners, που πιθανόν να λειτουργούν στον τρέχoν υπολογιστή, προκειμένου να σταματήσει τη δράση τους.

GhostMiner

Αυτό βέβαια είναι κάτι απλό μπροστά στην νέα τεχνική που εφαρμόζει για την παραγωγή κρυπτονομισμάτων. Πρακτικά φαίνεται να είναι το πρώτο κακόβουλο λογισμικό που χρησιμοποιεί fileless τεχνική για αυτόν τον σκοπό. Η συγκεκριμένη τεχνική έχει γίνει αρκετά δημοφιλής τα τελευταία χρόνια, επιτρέποντάς στα malware να εκτελούν κακόβουλο κώδικα απευθείας από τη μνήμη, χωρίς να αφήνουν αρχεία στο δίσκο, κάτι που μειώνει την πιθανότητα ανίχνευσής τους από τα antivirus.

Επιπλέον, το GhostMiner χρησιμοποιεί επίσης και την τεχνική εντοπισμού άλλων miners και τερματίζει τις όποιες διαδικασίες εκτελούν. Η τεχνική αυτή δεν είναι καινούργια, καθώς έχει χρησιμοποιηθεί και από άλλα malware, ωστόσο δείχνει το πόσο καλά οργανωμένο είναι το Ghost.

Όσον αφορά τους στόχους του, το GhostMiner μπορεί να μολύνει συστήματα που χρησιμοποιούν διακομιστές MSSQL, phpMyAdmin και Oracle WebLogic. Όμως, σύμφωνα με τους εμπειρογνώμονες της Minerva Labs, μόνο το σύστημα WebLogic ήταν ενεργό όταν ανέλυαν την νέα παραλλαγή. Οι διαδικασία εισβολής περιλαμβάνει την σάρωση διαφόρων IP για τον εντοπισμό συστημάτων που φέρουν την ευπάθεια CVE-2017-10-271. Μέσω της συγκεκριμένης ευπάθειας οι επιτιθέμενοι αποκτούν πρόσβαση στο λειτουργικό των θυμάτων και εκτελούν δύο PowerShell scripts.

Παρά τις εξαιρετικά προηγμένες τεχνικές η συγκεκριμένη παραλλαγή δεν κατάφερε να δώσει στους δημιουργούς της αρκετά χρήματα αφού σε μια εκστρατεία διάρκειας τριών εβδομάδων, το GhostMiner έφτασε μόνο τα 1.03 Monero, αξίας περίπου 200$.

Οι ερευνητές της Minerva Labs έφτιαξαν ένα script το οποίο εντοπίζει και αφαιρεί το συγκεκριμένο Miner και είναι διαθέσιμο στο κοινό.
https://github.com/MinervaLabsResearch/BlogPosts/tree/master/MinerKiller

 

 

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS