Yeni kötü amaçlı yazılım ailesi, kripto para madenciliği yapmak üzere web sunucularına bulaşıyor.
Yasadışı kripto para birimi madencilerini hedef almak üzere tasarlanmış bir dizi açıktan yararlanarak web sunucularına saldırmak için derinliklerden yeni bir kötü amaçlı yazılım biçimi ortaya çıktı.
Genel amaç, kurulum için web sunucularını, ağ sürücülerini ve çıkarılabilir depolamayı tehlikeye atmaktır. XMRigHedef makinelerde bir Monero kripto para madenci betiği.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
Pazartesi günü Trend Micro bulgularını yayınladı Siber güvenlik firmasının "özellikle tehlikeli" olduğunu kanıtladığı BlackSquid adlı yeni kötü amaçlı yazılım hakkında.
Pek çok kötü amaçlı kod türü, popüler sistemlerdeki bilinen güvenlik açıklarına yönelik bir veya iki açıktan yararlanırken, BlackSquid bu konuda farklılık gösteriyor.
Kötü amaçlı yazılım, şu anda yaygın olan bir dizi en tehlikeli güvenlik açıklarını kullanıyor: EbediMavi; Çift Pulsar; Rejetto HTTP Dosya Sunucusu hatasına yönelik istismarlar, CVE-2014-6287Apache Tomcat'in bir güvenlik kusuru, CVE-2017-12615ve Microsoft Server'da bir Windows Kabuğu sorunu -- CVE-2017-8464-- ayrıca web uygulaması geliştirme çerçevesinin farklı sürümleri için üç ThinkPHP kullanımı.
Buna ek olarak BlackSquid, kaba kuvvet saldırıları, sanallaştırma önleme, hata ayıklama önleme ve korumalı alan önleme tekniklerinin yanı sıra solucan benzeri yayılma yeteneklerine de sahiptir.
BlackSquid enfeksiyon sürecine üç giriş noktasından biriyle başlar; virüslü bir web sayfası, istismarlar veya çıkarılabilir ağ sürücüleri aracılığıyla.
BlackSquid, hedeflenecek bir web sunucusunun IP adreslerini rastgele seçmek için GetTickCount API'sini kullanır ve adreslerin canlı olup olmadığını kontrol eder. Eğer öyleyse, saldırı başlar. Kötü amaçlı kod ayrıca, hedef web sayfalarına kötü amaçlı iframe'ler ekleyerek bir enfeksiyon zinciri başlatabilir.
Kötü amaçlı yazılım, varlığı gibi tespit veya analizleri önlemek için tasarlanmış bir dizi kontrol gerçekleştirir. Bir sanal alanın veya sanallaştırmanın devrede olduğunu düşündüren kullanıcı adları, sürücüler veya dinamik bağlantı kitaplıkları.
Araştırmacılar, "Kötü amaçlı yazılım aynı zamanda donanım kesme noktaları, özellikle de bayraklar için kesme noktası kayıtlarını da kontrol ediyor" diyor. "Sabit kodlanmış, eğer bayrak 0'daysa rutini atlıyor, eğer bayrak 1'deyse enfeksiyona devam ediyor gibi görünüyor. Bu yazının yazıldığı an itibariyle kod 0'a ayarlandı, bu da kötü amaçlı yazılım rutininin bu yönünün hala geliştirilme aşamasında olduğunu gösteriyor."
Kötü amaçlı yazılım, bir web sunucusuna girdikten sonra aynı düzeyde güvenlik elde etmek için uzaktan kod yürütme kusurunu kullanır. yerel sistem kullanıcısı olarak ayrıcalıklara sahiptir ve nihai işlemi yürütürken kendisini daha da çoğaltır yükler.
BlackSquid'in yükleri, biri kaynağı, diğeri virüslü bir sunucuya indirilen iki XMRig kripto para birimi madenciliği bileşenidir. Kaynak madencisi, kötü amaçlı yazılımın birincil görevi görür.
TechRepublic: CA sertifikaları Ubuntu sunucusuna nasıl yüklenir
Nvidia ve AMD tarafından geliştirilenler gibi bir ekran kartı bulunursa, ek Monero madenciliği yapmak için GPU'ları kullanmak üzere ikinci bileşen de devreye giriyor.
Trend Micro, BlackSquid saldırılarının çoğunun şu ana kadar Tayland ve ABD'de tespit edildiğini söylüyor. Mayıs ayının son haftası kayıtlara geçen en aktif dönemdir.
Ancak kötü amaçlı yazılımdaki kodlama hataları ve atlanan rutinler, kullanılan tekniklerin çoğu nedeniyle BlackSquid'in hala geliştirme ve test sürecinde olabileceğini gösteriyor yeraltı forumlarında ücretsiz olarak mevcuttur ve örneğin Shodan aboneliği yerine rastgele IP taraması uygulama kararı herhangi bir şey gerektirmez yatırım.
Shodan'ın en şok edicisi
Ayrıca bakınız: Güvenli olmayan veritabanı, büyük otel zincirlerinin güvenlik kayıtlarında 85 GB'ı açığa çıkarıyor
Ancak araştırmacılar, kötü amaçlı yazılımın mevcut gelişimi ve yetenekleri göz önüne alındığında bunun mümkün olduğuna inanıyor. gelecekte kripto para madencisi dışındaki yüklerin ve daha tehlikeli olanların da kullanılabileceğini O.
Bugün mevcut olan BlackSquid tehdidiyle mücadele etmenin en basit yolu, uygun yama prosedürlerinden yararlanmaktır. Kullanımdaki istismarlar tehlikeli olsa da düzeltmeler yıllardır mevcuttur ve web sunucularına uygulanmalıdır.
Bunlar 2018'in en kötü hack'leri, siber saldırıları ve veri ihlalleri
Önceki ve ilgili kapsam
-
ABD, vize başvurunuzda beş yıllık sosyal medya ve e-posta hesap bilgilerinizi talep edecek
-
Maine kurallarına göre İSS'ler artık verilerinizi satmadan önce izin istemeli
-
New York'un en büyük kâr amacı gütmeyen kuruluşlarından biri veri ihlaliyle karşı karşıya
Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0