พบ malware ที่โจมตีด้วย EternalBlue และ WMI เพื่อทำการฝัง CoinMiner แพร่กระจาย
TrendLab (หน่วย Research ของ TrendMicro) พบ malware ที่โจมตีไปยังเครื่อง Windows Server โดยการใช้งาน Eternal Blue และ WMI command ในการแพร่กระจายและฝัง CoinMiner เพื่อหาเงินทาง Crypto Money
ขั้นตอนการโจมตีและแพร่กระจาย รวมถึงการติดตั้ง CoinMiner คือ เริ่มจากการโจมตีด้วย EternalBlue, จากนั้นก็ติดตั้ง script สำหรับการติดต่อไปยัง C&C Server ผ่านการใช้งาน WMI command โดย Malware ดังกล่าวจะทำการรันจาก memory และใช้ script ที่ได้จาก Command and Control Server (C&C Server) ในการทำงาน จากนั้นเมื่อได้ script จาก C&C Server ก็จะทำงานตามที่ script กำหนดอีกที ซึ่งเป็นการใช้ payload ในการทำงานที่แตกต่างกัน
แน่นอนว่าเมื่อ Malware ใช้ EternalBlue ในการโจมตีและแพร่กระจาย นั่นหมายความว่าเราก็สามารถป้องกันการโจมตีของ Malware ได้ด้วยการปิด SMBv1 นั่นเอง (ดูวิธีการ disable SMBv1 ได้เลยครับ)
Source:: BleepingComputer,TrendMicro