Crypto-jacking está ficando mais louco a cada minuto
29 mar 2018Na semana passada, a Imperva descobriu um novo ataque de Crypto-jacking, que eles chamaram de RedisWannaMine. De acordo com a Imperva, o vetor de ataque inicial do malware usou uma vulnerabilidade conhecida do framework de desenvolvimento Apache Struts, afetando tanto servidores de banco de dados quanto servidores de aplicativos. A Imperva, no entanto, não revela o escopo ou o número de sistemas vulneráveis que foram explorados. A Imperva observou que a maioria dos crypto-jackings até agora tem sido limitada em sua complexidade, mas esse novo ataque usa um downloader mais sofisticado. Especificamente, é mais complexo tanto nas técnicas de evasão quanto na capacidade e demonstra um comportamento semelhante a um worm que explora as vulnerabilidades NSA EternalBlue juntamente com outros exploitsavançados.
A Imperva descobriu vários scripts associados ao RedisWannaMine. Um script de shell encontrado, o transfer.sh, era um downloader que, em alguns aspectos, se assemelhava aos demais crypto-jackings vistos anteriormente. O scriptganha persistência no host infectado através da nova entrada no crontab e ganha acesso remoto à máquina através de uma nova entrada da chave SSH em “/root/.ssh/authorized_key” e novas entradas no firewall iptables.
Este downloader tem muitas melhorias sobre os downloaders anteriores. Por exemplo, é autossuficiente. Ele pode instalar vários pacotes usando gerenciadores de pacotes padrão do Linux, como APT e YUM. O script também baixa uma ferramenta de varredura de portas TCP publicamente disponível chamada masscan do repositório Github e depois compila e instala no host infectado. Dentre os documentos de projeto do GitHub, o masscan é “a ferramenta de scan de portas mais rápida. Pode escanear toda a Internet em menos de 6 minutos, transmitindo 10 milhões de pacotes por segundo “.
De acordo com a pesquisa, uma vez que o malware se instala no host, o scriptlança outro processo que usa a ferramenta masscan para descobrir e infectar servidores Redis publicamente disponíveis. A ferramenta verifica a porta TCP 6379 em IPs públicos e privados. Se algum dos endereços IP digitalizados estiver disponível publicamente, o script então lança o script ‘redisrun.sh‘ para infectar o novo host com o mesmo malware criptográfico e repete a tendência.
O RedisWannaMine também usa a vulnerabilidade EternalBlue contra servidores vulneráveis do Windows. O processo do malware lança outro processo de verificação chamado ‘ebscan.sh’ que novamente usa a ferramentamasscan, desta vez para a porta TCP 445 em IPs privados e públicos para descobrir e infectar servidores Windows publicamente disponíveis executando versões vulneráveis do protocolo SMB.
De acordo com a publicação do blog da Imperva, o RedisWannaMine usa um conhecido crypto-miner para roubar criptomoeda e canalizá-lo para a carteira de hackers.
Como você evita o RedisWannaMine?
Existem várias maneiras de evitar que o RedisWannaMine infecte seus servidores. No mínimo, instale as atualizações do sistema e aplique patchescorretivos mais recentes nos aplicativos. Certifique-se de que os protocolos vulneráveis, como as versões antigas do SMB, estão desativados em sua rede e utilize firewalls para restringir o acesso, de modo que os servidores como oRedis não fiquem expostos. Para obter mais informações sobre este ataque particular, você pode ver o blog da Imperva.
Post original: https://www.secplicity.org/2018/03/16/crypto-jacking-is-getting-crazier-by-the-minute/