{"id":200406,"date":"2018-02-01T14:23:57","date_gmt":"2018-02-01T13:23:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=200406"},"modified":"2018-02-01T14:28:41","modified_gmt":"2018-02-01T13:28:41","slug":"smominru-miner-botnet-befllt-500-000-windows-systeme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/02\/01\/smominru-miner-botnet-befllt-500-000-windows-systeme\/","title":{"rendered":"Smominru-Miner-Botnet bef&auml;llt 500.000 Windows-Systeme"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Sicherheitsforscher haben ein Monero-Miner-Botnet entdeckt, welches wohl schon 500.000 Windows-Systeme befallen und dort einen Krypto-Miner installiert hat.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/6b01f0a4e16340ed8ad4933dd979691c\" width=\"1\" height=\"1\"\/>Die Meldung kommt von verschiedenen Quellen aus dem Kreis von Sicherheitsforschern. Die Sicherheitsspezialisten von Proofpoint haben das globale Botnetz Smominru (a.k.a Ismo) getauft und <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/smominru-monero-mining-botnet-making-millions-operators\" target=\"_blank\">hier beschrieben<\/a>. Die Forscher beobachten den Monero-Miner seit Ende Mai 2017. Der Miner breitet sich \u00fcber den EternalBlue Exploit (CVE-2017-0144) auf Windows-Maschinen aus und ist als Smominru (alias Ismo) bekannt. Allerdings ist die Nutzung der Windows Management Infrastructure durch den Miner ungew\u00f6hnlich.<\/p>\n<p><img decoding=\"async\" title=\"BitCoin\" alt=\"BitCoin\" src=\"https:\/\/i.imgur.com\/RNnVYPr.jpg\"\/><br \/>(Quelle: Pexels <a href=\"https:\/\/www.pexels.com\/de\/u\/davidmcbee\/\" target=\"_blank\">David McBee<\/a> CC0 Lizenz)<\/p>\n<h2>Power-Miner f\u00fcr Monero-Krypto-Geld<\/h2>\n<p>Die Geschwindigkeit, mit der der Miner mathematische Operationen durchf\u00fchren kann, um neue Einheiten von Krypto-W\u00e4hrung zu sch\u00fcrfen, wird als \"Hash-Power\" bezeichnet. Basierend auf der Hash-Power, die mit der Monero-Zahlungsadresse f\u00fcr diese Operation verbunden ist, schien es, dass dieses Botnet wahrscheinlich doppelt so gro\u00df war wie Adylkuzz. Die Betreiber des Botnetzes hatten bereits ca. 8.900 Monero gesch\u00fcrft (entspricht gesch\u00e4tzt in dieser Woche einem Wert zwischen 2,8 und 3,6 Mio. $). Jeden Tag f\u00f6rderte das Botnet etwa 24 Monero, die in dieser Woche durchschnittlich $8.500 wert sind.<\/p>\n<h2>Angriff \u00fcber 25 Hosts<\/h2>\n<p>Mindestens 25 Hosts f\u00fchrten Angriffe \u00fcber EternalBlue (CVE-2017-0144 SMB) durch, um neue Knoten zu infizieren und das Botnetz zu vergr\u00f6\u00dfern. Die Hosts scheinen alle hinter dem netzwerkunabh\u00e4ngigen System AS63199 zu sitzen. Andere Forscher berichteten auch \u00fcber Angriffe \u00fcber MySQL, und die Leute von Proofpoint glauben, dass die Akteure wahrscheinlich auch EsteemAudit (CVE-2017-0176) verwenden, wie die meisten anderen EternalBlue-Angreifer. Die Command and Control (C&amp;C)-Infrastruktur des Botnets wird \u00fcber SharkTech gehostet. Der Betreiber wurde \u00fcber den Missbrauch informiert, Proofpoint hat , aber keine Antwort auf die Missbrauchsmeldung erhalten.<\/p>\n<p>Mit Hilfe von Abuse.CH und der ShadowServer Foundation setzten die Proofpoint-Leute ein Sink-Hole auf. Ziel war es, die Botnet-Gr\u00f6\u00dfe und den Standort der einzelnen Knoten zu bestimmen. Das Botnet umfasst mehr als 526.000 infizierte Windows-Hosts, von denen Proofpoint glaubt, dass es sich bei den meisten um Server handelt. Diese Knoten sind weltweit verteilt, wobei die h\u00f6chsten Zahlen in Russland, Indien und Taiwan beobachtet werden. Weitere Details finden sich bei <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/smominru-monero-mining-botnet-making-millions-operators\" target=\"_blank\">Proofpoint<\/a> oder <a href=\"https:\/\/thehackernews.com\/2018\/01\/cryptocurrency-mining-malware.html\" target=\"_blank\">The Hacker News<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher haben ein Monero-Miner-Botnet entdeckt, welches wohl schon 500.000 Windows-Systeme befallen und dort einen Krypto-Miner installiert hat.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[2272,4328,4325],"class_list":["post-200406","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-botnet","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=200406"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200406\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=200406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=200406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=200406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}