Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Go malvér na Linux serveroch ťaží kryptomeny

15.07.2019
Kampaň, ktorá dodáva Golang malvér na servery bežiace na Linuxe, bola odhalená iba pred mesiacom, no už teraz je napadnutých niekoľko tisíc zariadení. Útočník zodpovedný za kampaň využíva službu pastebin.com na distribúciu bash skriptu, ktorý následne stiahne samotný malvér nachádzajúci sa na kompromitovanej čínskej webovej stránke.

 

Dôsledky

  • Kompromitácia systému
  • Zneužívanie systémových prostriedkov na ťažbu kryptomien

Opis činnosti
Zraniteľnosti, ktoré útočník využíva na kompromitáciu systému, sú CVE-2019-9082 (ThinkPHP), CVE-2019-3396 (Atlassian Confluence) a CVE-2019-7600 (Drupal).

Malvér využívaný v kampani je výnimočný tým, že bol napísaný v programovacom jazyku Go, ktorý je navrhnutý spoločnosťou Google. Tento jazyk útočníci začali používať na škodlivé účely až posledný rok.

Nová kampaň používa na šírenie malvéru viacero postupov. Okrem zneužitia vyššie uvedených zraniteľností môže v prvom kroku pristupovať ku Redis databázam. Malvér sa najprv snaží pripojiť na prednastavený port bez prihlasovacích údajov. Skúša sedem najvyužívanejších hesiel (admin, redis, root, 123456, password, user, test). Môže sa tiež pripájať na SSH port, pričom využíva štyri najbežnejšie prihlasovacie mená (root, admins, user, test). Následne je využitý shell skript na nájdenie existujúcich známych hostiteľov v SSH adresári a pokus o pripojenie sa k nim a vykonanie počiatočného payloadu.

Po skompromitovaní systému bash skript pochádzajúci z pastebin.com stiahne do skrytého priečinku /tmp/.mysqli z čínskej skompromitovanej stránky balík súborov okrem iného obsahujúci aj Go malvér.

Ďalej sa malvér snaží vypnúť bezpečnostnú kontrolu na skompromitovanom systéme, vrátane SELinuxu. Taktiež sa snaží získať prístup ku crontab nastaveniam, aby vedel sťahovať bash skript každých 15 minút a nastaví Go malvér ako službu.

V čase odhalenia hrozby bolo na Pastebin.com okolo 12 000 žiadostí na stiahnutie. Spoločnosť F5 zistila, že autor malvéru využíva meno „Nidaye222“ na uskladnenie dát a využíva aj profil na GitHube s rovnakým menom.

Zraniteľné systémy
Servery s operačným systémom Linux. Útok využíva SSH, Redis databázy a zraniteľnosti v ThinkPHP, Atlassian Confluence a Drupal

Závažnosť zraniteľnosti
Vysoká

Možné škody
Škodlivý softvér (Malware)

Odporúčania

  • Aktualizácia zneužívaného softvéru
  • Používanie silných hesiel a neštandardných používateľských mien

Odkazy
https://www.securityweek.com/cryptomining-campaign-targets-linux-servers-go-malware
https://blog.trendmicro.com/trendlabs-security-intelligence/golang-based-spreader-used-in-a-cryptocurrency-mining-malware-campaign/



<< zoznam oznámení