Ботнет Prometei использует SMB для майнинга криптовалюты
23 июля 2020 года
Исследователи безопасности компании Cisco Talos сообщили о новом ботнете, использующем протокол Microsoft Windows SMB для распространения в корпоративных сетях майнера криптовалюты.
Ботнет Prometei начал активность в марте 2020 года и привлек внимание ИБ-экспертов, поскольку использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и добычи криптовалюты Monero (XMR).
Атака начинается с компрометации протокола Windows Server Message Block (SMB) через уязвимости, в частности Eternal Blue. С помощью инструмента Mimikatz и брутфорс-атак злоумышленники находят в корпоративной сети учетные данные, которые затем отправляются на C&C-сервер для повторного использования модулями, предназначенными для проверки действительности паролей в других системах, использующих протоколы SMB и RDP.
В общей сложности ботнет насчитывает более 15 исполняемых модулей, контролируемых главным модулем. Prometei состоит из двух ветвей – ответственной за майнинг криптовалюты ветки C++ и ветки на базе.NET, занимающейся похищением учетных данных, эксплуатацией протокола SMB и обфускацией. Основная ветка может работать без дополнительной и самостоятельно подключаться к C&C-серверу, похищать учетные данные и добывать криптовалюту.
По данным Cisco Talos, в настоящее время ботнет состоит менее чем из ста инфицированных устройств. Так как Prometei начал работать недавно, в среднем в месяц он приносит своим операторам только $1250. Хотя сумма сравнительно небольшая, для «одного разработчика из Восточной Европы это больше, чем средняя зарплата во многих странах», считают исследователи.
Подключающиеся к C&C-серверу Prometei инфицированные системы находятся в Бразилии, США, Турции, Китае и Мексике. Один из C&C-серверов был изъят в июне нынешнего года, однако это никак не сказалось на его операциях.
Источники
править| Эта статья содержит материалы из статьи «Ботнет Prometei использует SMB для майнинга криптовалюты», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
