Malware fileless realiza minería aprovechando el exploit EternalBlue

Malware fileless realiza minería aprovechando el exploit EternalBlue

Una nueva variante de malware destinado a minar criptomoneda ha sido detectada operando en internet, usando para ello el kit de exploit EternalBlue de la NSA, (responsable de infecciones populares como NotPetya) en conjunto con la herramienta WMI de Windows (Windows Management Instrumentation). Su nombre es CoinMiner.

CoinMiner es un malware fileless que aprovecha el funcionamiento de WMI para poder propagar sus comandos a sistemas Windows de forma remota. Normalmente, este conjunto de herramientas se utiliza para gestionar estos sistemas, pero tiene un gran poder si se utiliza con fines oscuros.

Descubre si tus servidores son vulnerables a EternalBlue con esta herramienta.

Así opera CoinMiner junto con WMI

Este malware emplea el WMI (Windows Management Instrumentation) como un sistema de permanencia fileless. Concretamente, utiliza la aplicación de scripting WMI Standard Event Consumer (srcons.exe) para ejecutar estos scripts.

Para entrar en un sistema, como hemos dicho antes, se apoya en la vulnerabilidad EternalBlue de Windows allí donde no ha sido parcheada. Si no lo has hecho ya, revisa el boletín MS17-010.

Durante el análisis de la amenaza se han detectado numerosos servidores C&C de donde recibe instrucciones y a los que envía datos. De esta forma puede tomar mejores decisiones a la hora de evadir la seguridad.

Malware “minero” que usa EternalBlue como vehículo

Este no es el primer malware dedicado a la minería a costa del bolsillo ajeno que se ha detectado aprovechando EternalBlue. Otros lo han hecho antes, como por ejemplo Adylkuzz, y es que cuando una receta funciona…la usan para casi todo.

Malware fileless realiza minería aprovechando el exploit EternalBlue

Dado que utiliza el instrumental WMI para descargar sus scripts y garantizar persistencia, desactivando dicho instrumental en nuestros equipos podemos detener su actividad. Obviamente no es una buena idea a largo plazo porque WMI tiene bastante importancia, pero es un paso seguro para evitar infección.

Desactivar SMBv1 y WMI en Windows

Como desactivar SMB o Server Message Block mediante PowerShell

Antes de nada, recordaros que no es conveniente desactivar versiones posteriores sino únicamente la v1, si no queremos ver reducida la funcionalidad de nuestros servidores de archivos en red.

Windows 8 / Windows Server 2012

Determinar estado de SMB

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Desactivar SMBv1

Set-SmbServerConfiguration -EnableSMB1Protocol $false

NOTA: para desactivar el resto de protocolos SMB (2,3) solo tendremos que cambiar el número por el que corresponda.

Para activar de nuevo el protocolo SMBv1 haríamos lo siguiente:

Set-SmbServerConfiguration -EnableSMB1Protocol $true

Windows 7 / Windows Server 2008 r2

Para versiones 2.0 o superiores de PowerShell haremos lo siguiente:

Para desactivar SMBv1

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Para activar SMBv1

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force

NOTA: para escoger otra version del protocol modificaremos por el número que corresponda, como en el ejemplo anterior.

Como desactivar el servicio WMI en Windows

Para detener el servicio WMI haremos lo siguiente:

Parada

net stop winmgmt

Arranque

net start winmgmt (/opcion)

También tenemos a mano un script PowerShell que puede ayudar.


Fuentes adicionales: TrendMicro

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s