Необычный майнер обнаружили израильские исследователи. Зловред работает в программной оболочке PowerShell и не создает файлов на скомпрометированном устройстве. Несмотря на оригинальный подход, вредоносная утилита не принесла своему автору значительной выгоды — доход от ее деятельности минимальный.

Целью GhostMiner являются серверы под управлением MSSQL, phpMyAdmin и Oracle WebLogic, однако пока скрипт атакует лишь последнюю платформу. Программа сканирует пространство IP-адресов в поисках уязвимых устройств, после чего использует эксплойт к CVE-2017-10271, чтобы проникнуть в систему.

Скомпрометировав устройство, зловред запускает два PowerShell-скрипта, один из которых отвечает за генерацию криптовалюты Monero, а второй работает в качестве механизма самозащиты. GhostMiner сканирует запущенные в системе процессы и выгружает другие майнеры, если таковые найдутся.

Программа использует предопределенный стоп-лист, похожий на тот, который ранее был обнаружен в трояне, маскировавшемся под драйвер принтера. Однако, в отличие от своих предшественников, GhostMiner располагает целым набором методов устранения конкурентов, причем некоторые из них ранее не использовались в подобных программах.

Помимо принудительной остановки активных процессов, зловред проверяет запланированные задачи, сканирует перечень TCP-соединений, а также проводит поиск по аргументам командной строки, которые могут быть использованы другими майнерами.

Бесфайловая технология заражения не является новинкой в сфере компьютерной безопасности. Несколько лет назад зловред Kovter использовал ее для нелегальной накрутки кликов по рекламным баннерам в среде Windows. Распространение PowerShell дало новый толчок развитию подобных программ — в этой оболочке работали нашумевшие трояны PowerWare и DNSMessenger.

GhostMiner впервые применил бесфайловый метод для нелегальной добычи криптовалюты, однако не преуспел в этом. По свидетельству экспертов, кошелек злоумышленника пополнился всего на 1,03 Monero, что соответствует примерно $200. Подобный результат не идет ни в какое сравнение с атаками других майнеров, приносящих своим авторам миллионы долларов.

Между тем, как отмечают исследователи, есть вероятность, что они обнаружили не все кошельки злоумышленников. Не исключено также, что низкая результативность зловреда объясняется конкуренцией между преступными группировками, нацеленными на одни и те же серверы.

Уязвимость, которую эксплуатирует GhostMiner, не впервые создает проблемы владельцам серверов Oracle. В начале года злоумышленники уже использовали ее для взлома серверов WebLogic. В результате атаки преступники сгенерили 611 токенов Monero, что по нынешнему курсу составляет около $125 тыс. Ошибку исправили еще в октябре 2017, но, похоже, не все администраторы озаботились установкой патча.

Категории: Аналитика, Вредоносные программы, Уязвимости