Wie Azure Security Center erkennt einen Bitcoin Bergbau Angriff

Wie Azure Security Center erkennt einen Bitcoin Bergbau Angriff

Geschrieben am 24. April 2017

Azure Security Center hilft mit Myriaden von Bedrohungen Overeenkomst Kunden erweiterte Analysen mit durch globale Bedrohungsanalyse gesichert. Te hinaus ein Team von Sicherheitsexperten arbeitet oft direkt mit den Kunden Einblick in Sicherheitsvorfälle aufzubauen beeinflussen Microsoft Azure Kunden, mit dem Ziel, dauerhaft Security Center Erkennung zu verbessern und Warnfunktionen.

Ter vorherigen Blog postbode ", wie Azure Security Center hilft, einen Cyberangriff aussetzen" ,, Sicherheitsexperten detailliert die Etappen einer realen Angriff Kampagne, die mit einem Brute-Force-Angriff durch Security Center und die getroffenen Maßnahmen zu untersuchen und zu sanieren, den Angriff erkannt begann. Ter dieser postbode, wij&rsquo, würde auf einer Azure Security Center Erkennung konzentrieren, die Forscher führten einen Stadionring von Bergbauaktivitäten zu erkennen, die Cryptonight namens Verwendung eines bekannten Bitcoin-Mining-Algorithmus.

Bevor wij in die Details zu bekommen, lassen&rsquo, s einige Begriffe schnell erklären, dass Sie&rsquo, würde über diesen Blog. &ldquo, Bitcoin Miners&rdquo, ist eine spezielle Klasse von Software, die Mining-Algorithmen verwenden zu erzeugen oder &ldquo, Mine&rdquo, Bitcoins, die eine Form der digitalen Währung. Mining-Software wird oft spil böswilligen gekennzeichnet, weil es System-Hardware-Ressourcen wie die Central Processing Unit (CPU) oder Graphics Processing Unit (GPU) spil gut spil Netzwerk-Bandbreite eines betroffenen Host-Hijacking. Cryptonight ist ein solcher Mining-Algorithmus, der auf dem Host-spezifisch stützt&rsquo, s CPU. Te unsere Untersuchungen, wij&rsquo, ve Bitcoin-Miner durch eine Vielzahl von Technologien, einschließlich schädlichen Downloads, E-Mails mit bösartigen linksaf, Anlagen heruntergeladen von bereits installierten Malware, Peer-to-Peer opstopping Sharing-Netzwerke, und durch rissige Installateure / Bündler installiert gesehen.

Anfängliche Azure Security Center oplettend Details

Unsere erste Untersuchung ein, wenn Azure Security Center verdächtige Prozessausführung und erstellt eine oplettend wie unten festgestellt. Die oplettend vorgesehen Details wie spil Datum und Uhrzeit der erfassten Aktivität betroffenen Ressourcen, Abonnementinformationen und enthalten einen listig zu einem detaillierten Bericht über Hacker-Geräten wie dem ter diesem Fall erfasst ein.

Wij begann eine tiefere Untersuchung, die den anfänglichen Kompromiss ausgesetzt wasgoed durch einen verdächtigen Download, spil erkannt wurde &ldquo, Hack: Win32 / Keygen" ,. Wij vermuten einen der Administratoren auf dem opbergruimte wasgoed versucht Geräte herunterladen, die üblicherweise verwendet werden, um Patches oder ", crack", einige Software-Tasten. Malware wird häufig mit These contraptions ermöglicht Angreifern eine Backdoor und Zugang zum opbergruimte installiert entlang.

  • Basierend auf unserer Analyse Webstuhl, begann der Angriff mit der Erstellung eines Benutzerkontos mit dem Namen &ldquo, * Server $&rdquo ,.
  • Das &ldquo, * Server $&rdquo, erstellte Konto dann eine geplante Aufgabe aufgerufen ", NGM&rdquo ,. Diese Aufgabe startete einen Batch-Skript mit dem Namen ", kolenkit.bat&rdquo, befindet te die ", C: \ WINDOWS \ Temp \ ngmtx", Ordner.
  • Wij dann beobachtet Prozess named ", servies.exe&ldquo, wobei mit cryptonight bezogenen Parametern gestartet.
  • Hinweis: Das &lsquo, bond007.01&rsquo, stellt den Benutzer bitcoin&rsquo, s Konto hinter dieser Aktivität und &lsquo, x&rsquo stellt das Passwort ein.

Zwei Tage straks wij beobachtet die gleiche Aktivität mit verschiedenen verkeersopstopping Namen. Te der Screenshot unten wurde sst.bat nun ersetzt lijm.bat und mstdc.exe hat servies.exe ersetzt. Das gleiche Zyklus von Batch opstopping und Prozessausführung wasgoed regelmäßig beobachtet.

Thesis .bat Skripte entstehen für die Herstellung von Verbindungen mit dem Krypto NiPt Pool (XCN oder Shark Münze) und startete durch eine geplante Aufgabe verwendet werden soll, die These Verbindungen etwa jede Stunde neu gestartet.

Extra Beobachtung: Die heruntergeladenen ausführbare Dateien für den Anschluss an den Bitcoin-Dienst verwendet und zum Erzeugen des Bitcoins werden aus dem ursprünglichen umbenannt, 32.exe oder 64.exe, zu &ldquo, mstdc.exe&rdquo, und &ldquo, servies.exe&rdquo, respectively. Thesis ausführbare&rsquo, s sind Namensschemata basiert auf einer alten Technologie von Angreifern verwendet versuchen, schädliche Binärdateien te der normalen Ansicht zu verbergen. Die Technologie versucht, Dateien so aussehen, wie legitime gutartige klingenden Windows-Dateinamen.

  1. Mstdc.exe: &ldquo, mstdc.exe&rdquo, sieht aus wie &ldquo, msdtc.exe&rdquo, das ist eine legitime ausführbare Datei auf Windows-Systemen, nämlich Microsoft Distributed Transaction Coordinator von verschiedenen Anwendungen erforderlich, um solche spil Microsoft Exchange oder SQL Server te Cluster installiert.
  2. Servies.exe: Ähnlich, &ldquo, services.exe&rdquo, ist ein legitimer Service Control Manager (SCM) ist ein spezieller System-Prozess unter der Windows NT-Familie von Betriebssystemen, die starten, stoppen und interagiert mit dem Windows-Service-Prozessen. Auch hier Angreifer versuchen, mithilfe von ähnlich aussehenden Binärdateien zu verstecken. &ldquo, Servies.exe&rdquo, und &ldquo, services.exe&rdquo ,, sie sehr ähnlich aussehen, don&rsquo, t sie? Gute Taktik, die von Angreifern verwendet.

Spil wij haben unsere Timeline Webstuhl Analyse, wij andere Aktivität festgestellt, einschließlich wscript.exe die Verwendung von &ldquo, VBScript.Encode&rdquo, auszuführen &lsquo, test.zip&rsquo ,.

On-Extraktion ausgesetzt &lsquo, iissstt.dat&rsquo, verkeersopstopping, die mit einem IP-Adresse ter Korea wasgoed kommunizieren. Das &lsquo, mofcomp.exe&rsquo, Anweisung zeigt sich die opstopping iisstt.dat mit WMI zu registrieren. Der mofcomp.exe Compiler parst einen opstopping enthält Mouw Aussagen und fügt die Klassen und Klasseninstanzen definiert te der verkeersopstopping zum WMI-Repository.

Empfohlene Sanierung und die Maßnahmen

Der anfängliche Kompromiss wasgoed das Ergebnis von Malware-Installation durch rissige Installateure / Bündler was dazu führte ter Kompromiss der Maschine erreichen. Damit wasgoed unsere Empfehlung sehr zuerst die Maschine, wenn möglich, wieder aufzubauen. Doch mit dem Verständnis, dass dies manchmal nicht sofort getan werden kann, empfehlen wij folgende Sanierungsschritte der Umsetzung:

1. KennwortrichtlinienZurücksetzen Passwörter für alle Benutzer des betroffenen Host und gewährleisten Kennwortrichtlinien Best Practices erfüllen:.

Zwei. Defender ScanFühren Sie einen völligen Anti-Malware-Scan mit Microsoft Anti-Malware oder eine andere Lösung, die Flagge potenzielle Malware kann.

Drei. Software-Update-PrüfungStellen Sie sicher, das Betriebssystem und Anwendungen werden auf dem neuesten Stand gehalten. Azure Security Center können Sie virtuelle Maschinen zu identifizieren, die kritische und Sicherheit OS-Updates fehlen.

Vier. O Vulnerabilities &, VersionRichten Sie Ihre OS-Konfigurationen mit den empfohlenen Regeln für die härtesten Version des Betriebssystems. Zum Beispiel erlaubt keine Passwörter gespeichert werden. Aktualisieren des Betriebssystems (OS) Version für Ihre Cloud-Service auf die meisten neueste Version für Ihr Betriebssystem-Familie. Azure Security Center können Sie OS-Konfigurationen zu identifizieren, die Cloud Services SPIL gut spil mit These Empfehlungen nicht ausrichten mit OS Version outdates.

Fünf. Sicherungskopie: Regelmäßige Backups von Bedeutung sind nicht nur für das Software-Update-Management toneelpodium selbst, sondern auch für die Server, die aktualisiert werden. Um sicherzustellen, dass Sie einen Rollback-Konfiguration te Ort te Fall haben ein Update fehlschlägt, stellen Sie sicher, das System regelmäßig zu sichern.

6. Vermeiden Sie den Gebrauch von Cracked Software: Software geknackt Verwendung führt unerwünschtes Risiko in Ihr huis oder Unternehmen durch Malware und anderen Bedrohungen, die mit raubkopierter Software verbunden sind. Microsoft empfiehlt sehr Nutzung von Software geknackt zu umgehen und legale Software Politik spil von ihrer jeweiligen Organisation empfohlen folgenden.

Weitere Informationen finden Sie unter:

7. Email Benachrichtigung: Letzten Endes erkannt werden These Bedrohungen wie beim E-Mail-Benachrichtigungen Azure Security Center, konfigurieren zu senden.

  • Klicken Sie auf Richtlinien Kachel te Prävention Abschnitt.
  • Auf der Sicherheitspolitik Klinge, wählen Sie das Abonnement Sie E-Mail-Benachrichtigungen konfigurieren mögen.
  • Dies bringt uns zu der Sicherheitspolitik Klinge. Klicken Sie auf die E-Mail-Benachrichtigungen Option E-Mail Alerting zu konfigurieren.

Eine E-Mail waaks von Azure Security Center wird im Folgenden wie die aussieht.

Um mehr über Azure Security Center finden Sie auf der folgenden:

Feathercoin Pool

Statistiken

– Electroneum Pool ist jetzt geöffnet. Electroneum Pool toverfee 0% für eine Woche.

Spil diese Währung auf Bittrex, Poloniex nicht handelbar ist, wird Yobit, wagen Austausch nicht unterstützt.

– Aktivieren OTP auf Konto bearbeiten pagina. Backup geheime Schlüssel! Wenn Sie keine Sicherungs geheimen Schlüssel haben, deaktivieren Sie OTP und OTP wieder aktivieren geheimen Schlüssel zu notieren.

Contributor Hashrates

Allgemeine Statistiken

  • Thesis Statistiken sind ebenfalls erhältlich Format ter JSON HIER

Zuletzt gefunden Blocks

  • Hinweis: Rund Ergebnis wird erst 120 bestätigt gutgeschrieben.

Server Zeit: 17. Dezember 2017, 03.53.11 UTC

MPOS von TheSerapher, auf GitHub

Ähnlicher Film: Was ist Bitcoin Mining and Wie funktioniert es


Leave a Reply

Your email address will not be published. Required fields are marked *

*