html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

0-day баг в Cleverence Mobile SMARTS Server используется для добычи криптовалюты

Аналитики компании «Доктор Веб» обнаружили в серверных приложениях Cleverence Mobile SMARTS Server уязвимость нулевого дня, с помощью которой злоумышленники майнят криптовалюту.

Приложения семейства Cleverence Mobile SMARTS Server созданы для автоматизации магазинов, складов, различных учреждений и производств. В конце июля 2017 года исследователи обнаружили критическую уязвимость в одном из компонентов Cleverence Mobile SMARTS Server, с использованием которой злоумышленники получают несанкционированный доступ к серверам и устанавливают на них вредоносов семейства Trojan.BtcMine, предназначенных для добычи криптовалют. Об уязвимости незамедлительно сообщили разработчикам программного комплекса, и в настоящий момент проблема уже устранена.

Специалисты рассказывают, что изначально преступники использовали несколько версий майнера, получивших идентификаторы Trojan.BtcMine.1324Trojan.BtcMine.1369 и Trojan.BtcMine.1404. Заражение осуществлялось следующим образом. На сервер, на котором работает ПО Cleverence Mobile SMARTS Server, направляли сформированный специальным образом запрос, который приводил к выполнению содержавшейся в нем команды. Так злоумышленники создавали в системе нового пользователя с административными привилегиями и получали от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях, с помощью утилиты Process Hacker, преступники завершали процессы работающих на сервере антивирусов. Установив контроль над системой, преступники устанавливали майнера.

Хотя разработчики Cleverence Mobile SMARTS Server своевременно выпустили патч для обнаруженной специалистами уязвимости, «Доктор Веб» сообщает, что многие администраторы серверов не торопятся с его установкой, чем до сих пор пользуются злоумышленники. На взломанные через эксплуатацию бага серверы по-прежнему устанавливают майнеры, при этом постоянно модифицируя их версии. Так, со второй половины ноября 2017 года злоумышленники начали использовать принципиально новый троян, который  совершенствуют по сей день. Он получил идентификатор Trojan.BtcMine.1978 и предназначен для добычи криптовалют Monero (XMR) и Aeon (AEON).

Данный майнер запускается в качестве критически системного процесса с отображаемым именем «Plug-and-Play Service». При попытке завершить этот процесс, Windows аварийно прекращает работу и демонстрирует BSOD. Равно как и его предшественники, троян старается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender. Затем майнер ищет запущенные на атакуемом компьютере процессы антивирусных программ. В случае успеха он расшифровывает, сохраняет на диск и запускает драйвер, с помощью которого пытается завершить эти процессы.

Получив из собственной конфигурации список портов, вредонос ищет в сетевом окружении роутер. Затем, с помощью протокола UPnP, перенаправляет TCP-порт роутера на порты из полученного списка и подключается к ним в ожидании соединений по протоколу HTTP. Необходимые для своей работы настройки малварь хранит в системном реестре Windows.

Список IP-адресов управляющих серверов, которые тот проверяет с целью обнаружить активный, хранится в теле майнера. Троян настраивает на зараженном устройстве прокси-серверы, которые будут использоваться для добычи криптовалют. По команде злоумышленников малварь запускает оболочку PowerShell и перенаправляет ее ввод-вывод на подключающегося к скомпрометированному узлу удаленного пользователя. Это позволяет злоумышленникам выполнять на зараженном сервере различные команды.

Выполнив перечисленные действия, троян встраивает во все запущенные процессы модуль, предназначенный для добычи криптовалют. Первый процесс, в котором этот модуль начинает работу, и будет использоваться для майнинга.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

2

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции