Smominru-Miner-Botnet befällt 500.000 Windows-Systeme

Publiziert am 1. Februar 2018 von Günter Born

Sicherheitsforscher haben ein Monero-Miner-Botnet entdeckt, welches wohl schon 500.000 Windows-Systeme befallen und dort einen Krypto-Miner installiert hat.

Anzeige

Die Meldung kommt von verschiedenen Quellen aus dem Kreis von Sicherheitsforschern. Die Sicherheitsspezialisten von Proofpoint haben das globale Botnetz Smominru (a.k.a Ismo) getauft und hier beschrieben. Die Forscher beobachten den Monero-Miner seit Ende Mai 2017. Der Miner breitet sich über den EternalBlue Exploit (CVE-2017-0144) auf Windows-Maschinen aus und ist als Smominru (alias Ismo) bekannt. Allerdings ist die Nutzung der Windows Management Infrastructure durch den Miner ungewöhnlich.

BitCoin
(Quelle: Pexels David McBee CC0 Lizenz)

Power-Miner für Monero-Krypto-Geld

Die Geschwindigkeit, mit der der Miner mathematische Operationen durchführen kann, um neue Einheiten von Krypto-Währung zu schürfen, wird als "Hash-Power" bezeichnet. Basierend auf der Hash-Power, die mit der Monero-Zahlungsadresse für diese Operation verbunden ist, schien es, dass dieses Botnet wahrscheinlich doppelt so groß war wie Adylkuzz. Die Betreiber des Botnetzes hatten bereits ca. 8.900 Monero geschürft (entspricht geschätzt in dieser Woche einem Wert zwischen 2,8 und 3,6 Mio. $). Jeden Tag förderte das Botnet etwa 24 Monero, die in dieser Woche durchschnittlich $8.500 wert sind.

Angriff über 25 Hosts

Mindestens 25 Hosts führten Angriffe über EternalBlue (CVE-2017-0144 SMB) durch, um neue Knoten zu infizieren und das Botnetz zu vergrößern. Die Hosts scheinen alle hinter dem netzwerkunabhängigen System AS63199 zu sitzen. Andere Forscher berichteten auch über Angriffe über MySQL, und die Leute von Proofpoint glauben, dass die Akteure wahrscheinlich auch EsteemAudit (CVE-2017-0176) verwenden, wie die meisten anderen EternalBlue-Angreifer. Die Command and Control (C&C)-Infrastruktur des Botnets wird über SharkTech gehostet. Der Betreiber wurde über den Missbrauch informiert, Proofpoint hat , aber keine Antwort auf die Missbrauchsmeldung erhalten.

Mit Hilfe von Abuse.CH und der ShadowServer Foundation setzten die Proofpoint-Leute ein Sink-Hole auf. Ziel war es, die Botnet-Größe und den Standort der einzelnen Knoten zu bestimmen. Das Botnet umfasst mehr als 526.000 infizierte Windows-Hosts, von denen Proofpoint glaubt, dass es sich bei den meisten um Server handelt. Diese Knoten sind weltweit verteilt, wobei die höchsten Zahlen in Russland, Indien und Taiwan beobachtet werden. Weitere Details finden sich bei Proofpoint oder The Hacker News.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.