Windows-os szerverekkel bányásztak a netes csalók

Több száz Windows-os szerver fertőződhetett meg abban a támadássorozatban, amely Monero bányászatba vonta be a kiszolgálókat.
 
hirdetés
A Bitcoin, Monero és egyéb kriptopénzek bányászatával foglalkozó kiberbűnözői csoportoknak sok esetben nincs nehéz dolguk. Általában könnyen sebezhető rendszereket fertőznek meg, méghozzá olyan kódokkal, amiket nyílt forráskódú, amúgy teljesen legális és ártalmatlan programok manipulálásával készítenek. Különösebb anyagi beruházásokat sem kell tenniük, miközben az erőforrásaikat a sérülékeny rendszerek felkutatására összpontosíthatják.
 
Hasonló forgatókönyv szerint zajlottak azok a támadások is, amiket az ESET kutatói nemrégen lepleztek le. Ez esetben kifejezetten olyan kiszolgálók kerültek célkeresztbe, amelyeken nem megfelelően frissített operációs rendszer futott. A támadók az IIS 6.0 egy korábban feltárt sérülékenységét használták ki a Windows Server 2003 operációs rendszert futtató számítógépeken. Ehhez ráadásul rendelkezésükre állt egy, az interneten is elérhető proof-of-concept. kód, így e téren sem kellett különösebb fejlesztésekbe bonyolódniuk. A sérülékeny rendszerek felkutatását pedig az Amazon felhős infrastruktúrájából végezték.
 
Egy támadás forgatókönyve
 
Amikor a támadóknak sikerül térdre kényszeríteniük egy kiszolgálót, akkor arra felmásolják az xmrig (Monero CPU miner) nevű alkalmazás egy némileg módosított változatát. Az xmrig forráskódja a GitHubról szabadon letölthető, és ezt a csalók is tudták. A forráskódba mindössze a pénztárcáik címét, illetve néhány URL-t égettek be. Emellett egy olyan kódrészlettel bővítették ki az xmriget, amely figyelte, hogy a fertőzött rendszereken már fut-e a program, és amennyiben igen, akkor úgy leállították azt. Ezzel érték el, hogy a kis szoftver csak a saját pénztárcájukat tömje.
 
Az eddigi vizsgálatok szerint a támadók már 2017 májusa óta fertőzték a számukra mindenben megfelelő szervereket, és egy botnetet alakítottak ki. Hónapok során több mint 60 ezer dollárnak megfelelő Monerot sikerült összebányászniuk. Azt viszont egyelőre homály fedi, hogy hány szervert tudtak hadra fogni, de az érintett kiszolgálók száma több százra rúghat. Jó hír viszont, hogy szeptemberben e támadások háttérbe szorultak, és nagyon úgy tűnik, hogy az elmúlt hónapokban felépített botnet is megbénult.
 
Az ESET azt javasolta, hogy minden üzemeltető ellenőrizze a Windows Server 2003 (R2) állapotát. Noha az operációs rendszerhez a támogatás 2015-ben megszűnt, a Monero bányászok által kihasznált biztonsági rés (CVE-2017-7269) megszüntetéséhez idén júniusban kiadott egy frissítést a Microsoft, amit a lehetőségekhez mérten célszerű telepíteni. Nyilván azzal a csalók is tisztában vannak, hogy ezt az operációs rendszert már nem könnyű frissíteni, hiszen gyakorta éppen kompatibilitási okok miatt teljesít még mindig szolgálatot a szervezeteknél.
Vélemények
 
  1. 3

    A phpMyAdmin két sebezhetőséget tartalmaz.

  2. 3

    A Dropbox Android kompatibilis mobil alkalmazását két sérülékenység sújtja.

  3. 1

    A Danabot trójai túlzottan nagy érdeklődéssel figyeli a levelező- és FTP-szoftvereket, hogy aztán azokból hitelesítő adatokat kaparintson meg.

 
Partnerhírek
Foci-vb: hamis nyereményjátékok és mezek

Az ESET szakemberei felhívták a figyelmet arra, hogy a szurkolók mellett a csalók is készen állnak az oroszországi labdarúgó-világbajnokságra, és óvatosságra intették a felhasználókat.

​Virtuális asszisztens vagy beépített ügynök?

A reklámvideók szerint a virtuális asszisztensek jelentősen megkönnyítik a mindennapjainkat. De mint minden technológiai termék esetében, a biztonságra itt is figyelnünk kell.

hirdetés
Közösség
1