Kriptobányászat: a régi szerverek sincsenek biztonságban

​A kriptobányászattal foglalkozó kiberbűnözők ráharaptak a régebbi Windows szerverekre, és az így megkaparintott erőforrások segítségével próbálnak minél több pénzt kasszírozni.
 

Az F5 biztonsági kutatói arra lettek figyelmesek, hogy egyre több régebbi kiszolgáló esik áldozatául olyan nemkívánatos programoknak, amelyek kriptopénz bányászatra termettek. A vizsgálatok során kiderült, hogy a csalók az IIS egy korábban feltárt sérülékenységét fordítják a saját javukra, és ennek segítségével telepítik a kiszolgálókra a kriptobányász alkalmazásokat. 

A szóban forgó biztonsági rés kizárólag az IIS 6.0-ás kiadását érinti. E hiba története viszont tartogat érdekességeket. A sebezhetőséget 2017 márciusában jelezte két kínai biztonsági kutató. Nem sokkal később azonban kiderült, hogy a sérülékenységet már legalább 2016 júniusa óta aktívan kihasználta a kiberbűnözés. Kezdetben a Microsoft úgy nyilatkozott, hogy nem fogja javítani a hibát mivel az IIS 6.0 támogatási ciklusa lejárt, hasonlóan az azt futtató Windows XP és Windows Server 2003 operációs rendszerekhez. Csakhogy az exploit egyre gyakrabban ütötte fel a fejét, sőt a Shadow Brokers botránnyal is összefüggésbe hozták, ezért a Microsoft beadta a derekát, és mégis elkészítette a biztonsági frissítést.

Az IIS sebezhetősége a WebDAV támogatás kapcsán merült fel. Kezdetben célzott támadásokban jutott szerephez, majd a Monero bányászok is felvették az eszköztárukba. Most pedig azok a kiberbűnözők igyekeznek élni a kínálkozó lehetőséggel, akiknek némi Electroneumra fájl a foguk. A technikájuk lényege, hogy a biztonsági résen keresztül nyitnak egy reverse shellt. Ennek felhasználásával feljuttatják a nemkívánatos kódjaikat a kiszemelt szerverre, amelyen elkezdik futtatni a bányászatra alkalmas programot. A károkozójuk jelenlegi variánsa lsass.exe néven fut a rendszereken. Mivel ilyen nevén rendszerfolyamat is létezik, ezért a kártevő felismerése nehezebbé válhat, legalábbis akkor, ha valaki egyszerűen csak ránéz a Feladatkezelőre. 

Az F5 szerint a csalók eddig nem bányásztak össze túl sok pénzt. Ennek pedig két oka lehet: vagy folyamatosan cserélgetik az Electroneum címeiket, és így nem igazán lehet összesíteni a kibányászott összegeket, vagy még nagyon az elején járnak a támadásaiknak. Mindenesetre, ha valaki még régebbi IIS-t üzemeltet, akkor érdemes e kockázatokra fokozottan figyelni.