Kriptobányászat: a régi szerverek sincsenek biztonságban

​A kriptobányászattal foglalkozó kiberbűnözők ráharaptak a régebbi Windows szerverekre, és az így megkaparintott erőforrások segítségével próbálnak minél több pénzt kasszírozni.
 
hirdetés
Az F5 biztonsági kutatói arra lettek figyelmesek, hogy egyre több régebbi kiszolgáló esik áldozatául olyan nemkívánatos programoknak, amelyek kriptopénz bányászatra termettek. A vizsgálatok során kiderült, hogy a csalók az IIS egy korábban feltárt sérülékenységét fordítják a saját javukra, és ennek segítségével telepítik a kiszolgálókra a kriptobányász alkalmazásokat. 

A szóban forgó biztonsági rés kizárólag az IIS 6.0-ás kiadását érinti. E hiba története viszont tartogat érdekességeket. A sebezhetőséget 2017 márciusában jelezte két kínai biztonsági kutató. Nem sokkal később azonban kiderült, hogy a sérülékenységet már legalább 2016 júniusa óta aktívan kihasználta a kiberbűnözés. Kezdetben a Microsoft úgy nyilatkozott, hogy nem fogja javítani a hibát mivel az IIS 6.0 támogatási ciklusa lejárt, hasonlóan az azt futtató Windows XP és Windows Server 2003 operációs rendszerekhez. Csakhogy az exploit egyre gyakrabban ütötte fel a fejét, sőt a Shadow Brokers botránnyal is összefüggésbe hozták, ezért a Microsoft beadta a derekát, és mégis elkészítette a biztonsági frissítést.

Az IIS sebezhetősége a WebDAV támogatás kapcsán merült fel. Kezdetben célzott támadásokban jutott szerephez, majd a Monero bányászok is felvették az eszköztárukba. Most pedig azok a kiberbűnözők igyekeznek élni a kínálkozó lehetőséggel, akiknek némi Electroneumra fájl a foguk. A technikájuk lényege, hogy a biztonsági résen keresztül nyitnak egy reverse shellt. Ennek felhasználásával feljuttatják a nemkívánatos kódjaikat a kiszemelt szerverre, amelyen elkezdik futtatni a bányászatra alkalmas programot. A károkozójuk jelenlegi variánsa lsass.exe néven fut a rendszereken. Mivel ilyen nevén rendszerfolyamat is létezik, ezért a kártevő felismerése nehezebbé válhat, legalábbis akkor, ha valaki egyszerűen csak ránéz a Feladatkezelőre. 

Az F5 szerint a csalók eddig nem bányásztak össze túl sok pénzt. Ennek pedig két oka lehet: vagy folyamatosan cserélgetik az Electroneum címeiket, és így nem igazán lehet összesíteni a kibányászott összegeket, vagy még nagyon az elején járnak a támadásaiknak. Mindenesetre, ha valaki még régebbi IIS-t üzemeltet, akkor érdemes e kockázatokra fokozottan figyelni. 
Vélemények
 
  1. 4

    A Cisco WebEx Meetings Server esetében egy súlyos sérülékenység megszüntetésére van szükség.

  2. 4

    A Cisco az ASA megoldásaihoz számos biztonsági frissítést tett elérhetővé.

  3. 4

    A Solaris kapcsán több biztonsági hibajavítás is elérhetővé vált.

 
Partnerhírek
​Térj át https-re, hogy ne veszíts látogatókat

Ki szeretné kényszeríteni a https kapcsolatot a Google Chrome, ezért idén július elsejétől minden, nem biztonságos kapcsolatot használó weboldalra történő látogatás előtt megjelenik egy jelzés: nem biztonságos weboldal.

​PUBG Ransomware – Játékkal szerezhetjük vissza kódolt adatainkat

Az ESET szakemberei újfajta zsarolóvírusra hívják fel a figyelmet, amely ezúttal nem pénzt, hanem egy órányi játékot kér az adatokat helyreállító kulcsért.

hirdetés
Közösség
1