Treffen Sie Smominru, eine gefährliche Malware, die versuchen könnte, Ihre Anmeldeinformationen zu stehlen

Man könnte sagen, dass der Smominru-Wurm nicht die bekannteste Cyber-Bedrohung ist. Es hat zwar einige Aufmerksamkeit erregt, hauptsächlich von Cybersicherheitsexperten, aber insgesamt wurde es in den Nachrichten nicht so häufig erwähnt wie beispielsweise Trickbot. Trotzdem quält es seit drei Jahren Windows-Benutzer auf der ganzen Welt, und kürzlich beschlossen Forscher von Guardicore , genauer hinzuschauen und zu sehen, wie es weitergeht. Ihre Ergebnisse waren ziemlich überraschend.

Den Experten gelang es, auf einen der zentralen Command & Control-Server (C&C) der Malware zuzugreifen und die Protokolle zu lesen. Sie fanden heraus, dass Smominru allein im August satte 90.000 Windows-Geräte infizieren konnte. Das sind durchschnittlich 4.700 Computer und Server pro Tag.

Wie die meisten Bedrohungen dieser Art zielt Smominru nicht auf bestimmte Benutzer oder Organisationen ab. Der Wurm hat Maschinen infiziert, die allen Arten von Unternehmen gehören, die in verschiedenen Branchen tätig sind. China, Taiwan, Russland, Brasilien und die USA verzeichneten im August die meisten Opfer, und Guardicore gab an, dass die Mehrheit der infizierten Geräte kleine Server seien.

Alles in allem scheint Smominru, obwohl es möglicherweise nicht die bekannteste Malware-Familie ist, viel aktiver zu sein als einige seiner bekannteren Konkurrenten, und es gelingt eindeutig, eine große Anzahl von Benutzern zu beeinflussen. Wie macht es das?

Einfache Techniken und alte Heldentaten sind die Basis für den Erfolg von Smominru

Smominru hat zwei Möglichkeiten, neue Hosts zu infizieren und sich seitlich im Netzwerk zu bewegen. Entweder erzwingt es die Nutzung von Windows-Diensten wie RDP und Telnet, oder es verwendet etwas, das als EternalBlue bekannt ist.

Der Brute-Force-Angriff ist wohl das einfachste Werkzeug im Arsenal der Hacker. Leider ist es oft auch eines der effektivsten, da die Leute dazu neigen, dieselben schwachen Passwörter zu verwenden. Bei Smominru helfen ein paar Konfigurationsfehler.

RDP und Telnet sind alte Netzwerkprotokolle mit moderneren und zuverlässigeren Alternativen. Heutzutage werden sie nicht mehr von einer ganzen Reihe von Leuten verwendet, und trotzdem lassen einige Systemadministratoren sie laufen. Kombinieren Sie dies mit den schwachen (oder Standard-) Passwörtern, die sie schützen, und Sie werden sehen, wie sich Bedrohungen wie Smominru mühelos im Netzwerk bewegen können.

Die gleiche Nachlässigkeit ist das Herzstück von Smominru's zweitem Infektionsvektor: EternalBlue. EternalBlue ist ein Exploit, der angeblich von der NSA entwickelt wurde und eine bestimmte Windows-Sicherheitslücke ausnutzt. Es wurde im April 2017 durchgesickert und war so leistungsfähig, dass Microsoft sich Mühe gab und Patches für Systeme veröffentlichte, deren Support abgelaufen war. Trotzdem wurde EternalBlue im Mai und Juni desselben Jahres bei zwei der schwersten Cyberangriffe des letzten Jahrzehnts eingesetzt - dem Ausbruch der Ransomware WannaCry und NotPetya.

Man könnte meinen, dass Benutzer und insbesondere diejenigen, die für Unternehmensserver zuständig sind, ihre Systeme inzwischen gepatcht haben, aber leider ist dies nicht der Fall.

Tatsächlich laufen 85% aller Computer, die während der August-Kampagne mit Smominru infiziert wurden, unter Windows 7 oder Windows Server 2008 R2, was zeigt, dass immer noch wild veraltete Software verwendet wird. Und obwohl es Patches auch für diese alten Versionen gibt, möchten Benutzer sie einfach nicht anwenden. Guardicore berichtete, dass Smominru auf Maschinen, auf denen es ursprünglich entdeckt und entfernt wurde, eine Wiederinfektionsrate von 25% verzeichnete.

Alles in allem ist die beeindruckende Geschwindigkeit, mit der Smominru neue Hosts infiziert, nicht auf die Fähigkeiten und die Raffinesse seiner Bediener zurückzuführen. Dies hat mehr mit der Zurückhaltung zu tun, die grundlegendsten bewährten Verfahren für die Cybersicherheit zu befolgen, wie sowohl Benutzer als auch Systemadministratoren demonstrieren.

Smominru ermöglicht das Crypto-Mining und den Diebstahl von Anmeldeinformationen

Sobald sich Smominru auf einem neuen Computer befindet, wird zunächst ein neuer Benutzer mit Administratorrechten auf dem System erstellt. Damit hat der Wurm die freie Hand, um auf dem infizierten Wirt so ziemlich alles zu tun, was er will.

Die Experten von Guardicore stellten fest, dass die von ihnen beobachteten Proben den Produkten der Wettbewerber besonders feindlich gegenüberstanden. Kurz nach einer erfolgreichen Infektion bricht Smominru Prozesse ab, löscht Dateien und geplante Aufgaben und macht die mit anderen Malware-Familien verbundenen Registrierungsänderungen rückgängig. Anschließend werden einige Netzwerkports blockiert, um die Wahrscheinlichkeit zu verringern, dass andere Angreifer denselben Host angreifen.

Es ist klar, dass die Smominru-Betreiber die Beute nicht teilen möchten, und wenn Sie sehen, was die besagte Beute ist, werden Sie kaum überrascht sein. Seit mehr als einem Jahr nutzt die Smominru-Bande die Hardwareressourcen infizierter Hosts, um eine beliebte Kryptowährung namens Monero abzubauen. Laut Guardicores Bericht enthalten die Nutzdaten nun ein Penetrationstest-Tool namens Mimikatz, das Benutzernamen stehlen kann. Passwörter und andere persönliche Informationen. Während sie die Protokolle in Smominru's C & C betrachteten, stellten die Forscher tatsächlich einige gestohlene Anmeldeinformationen fest.

In Bezug auf das C & C wiesen die Experten auch darauf hin, dass die Betreiber von Smominru eine ziemlich seriöse Backend-Infrastruktur aufgebaut haben. Es sind mindestens 20 C & C-Server mit dem einzigen Ziel eingerichtet, den Wurm zu kontrollieren. Die meisten von ihnen befinden sich in den USA, aber es gibt auch Orte wie Malaysia und Bulgarien, was bedeutet, dass es extrem schwierig sein wird, die gesamte Operation zum Erliegen zu bringen.

Dies bedeutet, dass Benutzer und Systemadministratoren möglicherweise ihre Netzwerkkonfiguration und ihre Aktualisierungsrichtlinie überprüfen sollten, um festzustellen, ob ihre Systeme für einen Smominru-Angriff anfällig sind.

October 9, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 10 + 4 ?