Уязвимые серверы Redis атакует майнер Skidmap, и его скрывает руткит - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Уязвимые серверы Redis атакует майнер Skidmap, и его скрывает руткит - «Новости»

В «Доктор Веб» рассказали о новой модификации руткита, которая устанавливает на скомпрометированные машины под управлением Linux троян-майнер Skidmap. Руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности.


По словам исследователей, такие атаки являются массовыми и нацелены в основном на корпоративный сектор (крупные серверы и облачные среды), так как именно в этом случае эффективность майнинга будет максимальной.


Эксперты объясняют, что изначальное применение Redis не предполагало его установку на сетевой периферии, поэтому в конфигурации по умолчанию поддерживаются только базовые защитные функции, а в версиях до 6.0 и вовсе отсутствуют механизмы контроля доступа и шифрования.


Участившиеся сообщения о компрометации серверов с последующей установкой майнинговой малвари заинтересовали специалистов «Доктор Веб» и побудили их запустить собственный ханипот: сервер Redis с отключенной защитой.


В течение года этот сервер ежемесячно пытались атаковать от 10 000 до 14 000 раз, а недавно на нем была обнаружена малварь Skidmap, для сокрытия активности которой преступники воспользовались новым методом, а также установили на зараженную машину сразу четыре бэкдора.


Первые сообщения о трояне Skidmap появились еще в 2019 году. Этот майнер в основном встречается в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте.


Хотя с момента появления трояна прошло уже пять лет, принцип его работы остается неизменным: обычно он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО.


В случае ханипот-сервера «Доктор Веб» хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143).


Этот исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа.


Отличительной осособенностью дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В изученном случае в тело дроппера были встроены примерно 60 файлов для часто используемых версий Debian и Red Hat Enterprise Linux.


После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, что сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Также руткит проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут обнаружить его присутствие. Это позволяет скрыть практически все аспекты деятельности майнера (вычисления, отправку хешей и получение заданий).





Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром Цезаря со смещением в 4 буквы.


Для расширения возможностей по контролю взломанной системы злоумышленники устанавливают на скомпрометированным машины RAT-троян Linux.BackDoor.RCTL.2. Он позволяет отправлять команды на взломанный сервер и получать от него любые данные по зашифрованному соединению, которое троян инициирует самостоятельно.


Отмечается, что обнаружение скрытого руткитом майнера в кластере серверов — это нетривиальная задача. В отсутствие достоверных сведений о потреблении ресурсов, единственное, что может натолкнуть на мысль о компрометации — избыточное энергопотребление и повышенное теплообразование.


Исследователи резюмируют, что эволюция семейства Skidmap проявляется в усложнении схемы атаки: запускаемые программы делают вызовы друг к другу, отключают защитные системы, вмешиваются в работу большого числа системных утилит и служб, загружают руткиты, что значительно затрудняет действия по реагированию на подобные инциденты.


Кроме того, злоумышленники могут изменять настройки майнера таким образом, чтобы обеспечить оптимальный баланс между производительностью майнинга и сохранением быстродействия оборудования, что позволит им привлекать меньше внимания к скомпрометированной системе.


В «Доктор Веб» рассказали о новой модификации руткита, которая устанавливает на скомпрометированные машины под управлением Linux троян-майнер Skidmap. Руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. По словам исследователей, такие атаки являются массовыми и нацелены в основном на корпоративный сектор (крупные серверы и облачные среды), так как именно в этом случае эффективность майнинга будет максимальной. Эксперты объясняют, что изначальное применение Redis не предполагало его установку на сетевой периферии, поэтому в конфигурации по умолчанию поддерживаются только базовые защитные функции, а в версиях до 6.0 и вовсе отсутствуют механизмы контроля доступа и шифрования. Участившиеся сообщения о компрометации серверов с последующей установкой майнинговой малвари заинтересовали специалистов «Доктор Веб» и побудили их запустить собственный ханипот: сервер Redis с отключенной защитой. В течение года этот сервер ежемесячно пытались атаковать от 10 000 до 14 000 раз, а недавно на нем была обнаружена малварь Skidmap, для сокрытия активности которой преступники воспользовались новым методом, а также установили на зараженную машину сразу четыре бэкдора. Первые сообщения о трояне Skidmap появились еще в 2019 году. Этот майнер в основном встречается в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте. Хотя с момента появления трояна прошло уже пять лет, принцип его работы остается неизменным: обычно он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО. В случае ханипот-сервера «Доктор Веб» хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143). Этот исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа. Отличительной осособенностью дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В изученном случае в тело дроппера были встроены примерно 60 файлов для часто используемых версий Debian и Red Hat Enterprise Linux. После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, что сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Также руткит проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут обнаружить его присутствие. Это позволяет скрыть практически все аспекты деятельности майнера (вычисления, отправку хешей и получение заданий). Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром Цезаря со смещением в 4 буквы. Для расширения возможностей по контролю взломанной системы злоумышленники устанавливают на скомпрометированным машины RAT-троян Linux.BackDoor.RCTL.2. Он позволяет отправлять команды на взломанный сервер и получать от него любые данные по зашифрованному соединению, которое троян инициирует самостоятельно. Отмечается, что обнаружение скрытого руткитом майнера в кластере серверов — это нетривиальная задача. В отсутствие достоверных сведений о потреблении ресурсов, единственное, что может натолкнуть на мысль о компрометации — избыточное энергопотребление и повышенное теплообразование. Исследователи резюмируют, что эволюция семейства Skidmap проявляется в усложнении схемы атаки: запускаемые программы делают вызовы друг к другу, отключают защитные системы, вмешиваются в работу большого числа системных утилит и служб, загружают руткиты, что значительно затрудняет действия по реагированию на подобные инциденты. Кроме того, злоумышленники могут изменять настройки майнера таким образом, чтобы обеспечить оптимальный баланс между производительностью майнинга и сохранением быстродействия оборудования, что позволит им привлекать меньше внимания к скомпрометированной системе.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: