Crypto-jacking está ficando mais louco a cada minuto

Crypto-jacking está ficando mais louco a cada minuto

Na semana passada, a Imperva descobriu um novo ataque de Crypto-jacking, que eles chamaram de RedisWannaMine. De acordo com a Imperva, o vetor de ataque inicial do malware usou uma vulnerabilidade conhecida do framework de desenvolvimento Apache Struts, afetando tanto servidores de banco de dados quanto servidores de aplicativos. A Imperva, no entanto, não revela o escopo ou o número de sistemas vulneráveis ​​que foram explorados. A Imperva observou que a maioria dos crypto-jackings até agora tem sido limitada em sua complexidade, mas esse novo ataque usa um downloader mais sofisticado. Especificamente, é mais complexo tanto nas técnicas de evasão quanto na capacidade e demonstra um comportamento semelhante a um worm que explora as vulnerabilidades NSA EternalBlue juntamente com outros exploits avançados.

A Imperva descobriu vários scripts associados ao RedisWannaMine. Um script de shell encontrado, o transfer.sh, era um downloader que, em alguns aspectos, se assemelhava aos demais crypto-jackings vistos anteriormente. O script ganha persistência no host infectado através da nova entrada no crontab e ganha acesso remoto à máquina através de uma nova entrada da chave SSH em “/root/.ssh/authorized_key” e novas entradas no firewall iptables.

Este downloader tem muitas melhorias sobre os downloaders anteriores. Por exemplo, é autossuficiente. Ele pode instalar vários pacotes usando gerenciadores de pacotes padrão do Linux, como APT e YUM. O script também baixa uma ferramenta de varredura de portas TCP publicamente disponível chamada masscan do repositório Github e depois compila e instala no host infectado. Dentre os documentos de projeto do GitHub, o masscan é “a ferramenta de scan de portas mais rápida. Pode escanear toda a Internet em menos de 6 minutos, transmitindo 10 milhões de pacotes por segundo “.

De acordo com a pesquisa, uma vez que o malware se instala no host, o script lança outro processo que usa a ferramenta masscan para descobrir e infectar servidores Redis publicamente disponíveis. A ferramenta verifica a porta TCP 6379 em IPs públicos e privados. Se algum dos endereços IP digitalizados estiver disponível publicamente, o script então lança o scriptredisrun.sh‘ para infectar o novo host com o mesmo malware criptográfico e repete a tendência.

O RedisWannaMine também usa a vulnerabilidade EternalBlue contra servidores vulneráveis ​​do Windows. O processo do malware lança outro processo de verificação chamado ‘ebscan.sh’ que novamente usa a ferramenta masscan, desta vez para a porta TCP 445 em IPs privados e públicos para descobrir e infectar servidores Windows publicamente disponíveis executando versões vulneráveis do protocolo SMB.

De acordo com a publicação do blog da Imperva, o RedisWannaMine usa um conhecido crypto-miner para roubar criptomoeda e canalizá-lo para a carteira de hackers.

Como você evita o RedisWannaMine?

Existem várias maneiras de evitar que o RedisWannaMine infecte seus servidores. No mínimo, instale as atualizações do sistema e aplique patches corretivos mais recentes nos aplicativos. Certifique-se de que os protocolos vulneráveis, como as versões antigas do SMB, estão desativados em sua rede e utilize firewalls para restringir o acesso, de modo que os servidores como o Redis não fiquem expostos. Para obter mais informações sobre este ataque particular, você pode ver o blog da Imperva.

 

Post original: https://www.secplicity.org/2018/03/16/crypto-jacking-is-getting-crazier-by-the-minute/