Cryptojacking网络犯罪比赛
非法加密货币挖掘或加密杂乱已经受到网络犯罪分子的欢迎作为资助其运营的简单方法,因为数字货币的使用和价值增加。
该攻击通常涉及用于在目标系统上安装合法密码发电挖掘软件的恶意软件,并将生成的数字硬币发送到由犯罪分子控制的钱包。
企业已被敦促在密码附近作为安全漏洞的标志,并避免降级计算性能,处理器倦怠和增加的电力消耗。
根据安全公司Imperva的研究人员,新发现的加密技术和能力在逃避技术和能力方面更复杂,并使预示着针对数据库服务器和应用服务器的新一代Crytojacking攻击。
该攻击被称为rediswannamine,因为它由开源Redis内存中的内存数据结构存储和Wandacry使用的EternalBlue漏洞提供支持。
RedisWannamine演示了一种类似蠕虫的行为,结合高级漏洞,以提高攻击者的感染率和硬币发电能力。
“简而言之,Cryptojacking攻击者已经开始了他们的游戏,他们在一分钟内得到了疯狂,”研究人员在博客帖子中写道。
它们通过Imperva的Web应用程序传感器检测到的远程执行(RCE)追踪rediswannamine。
攻击中使用的shell脚本文件是一个下载程序,它类似于从外部位置下载加密矿工恶意软件的旧加密下载器,但研究人员表示,下载者与其他任何其他人不同看到。
首先,脚本使用Linux标准包管理员(如APT和YUM)安装很多包,研究人员认为是使其自给自足并能够在没有受害者机器上的当地图书馆进行操作。
其次,脚本从Github存储库下载一个名为MassCan的公开工具,然后编译并安装它。Masscan被描述为“TCP端口扫描仪,异步喷射SYN数据包,扫描5分钟内的整个互联网”。
第三,该脚本推出另一个进程,名为“redisscan.sh”,它使用MassCan工具发现和感染公开的Redis服务器。研究人员说:“它通过创建大型的IPS,内部和外部和扫描端口6379来实现这一目标,这使得这是默认的收听港口。”
如果列表中的一个IPS是公开可用的,则该脚本将启动“rediSrun.sh”进程以使其与相同的加密恶意软件(“transfer.sh”)感染它。
“使用先前安装的下载器的Redis-CLI命令行工具进行了感染,运行”RUNCMD“有效载荷,”研究人员表示。
“runcmd”有效载荷是一个10行的redis命令脚本,在redis server crontab目录中创建新条目,因此在检测到恶意软件和删除恶意软件时感染服务器并获得持久性。
脚本完成REDIS扫描后,研究表明它启动了另一个名为“EBSCAN.SH”的扫描过程,该过程使用MassCan工具使用MassCan工具使用SMB(服务器消息块)协议的易受攻击的版本来发现和感知公共可用的Windows服务器。
研究人员说:“它通过创建一个大型的IPS,内部和外部和外部,以及扫描端口445来实现这一目标,”这是一个是SMB的默认收听端口。“
美国国家安全局(NSA)使用了SMB漏洞,该脚本是扫描,被美国国家安全局(NSA)为创建永恒的蓝色开发程序,这是2017年5月在2017年5月开展全球武装袭击的永恒蓝漏。
当脚本找到一个易受攻击的服务器时,它会启动“ebrun.sh”进程来感染它,然后在易受攻击的计算机中运行永恒蓝色漏洞的Python实现,然后将文件“x64.bin”丢弃。
删除的文件创建并运行名为“poc.vbs”的恶意vbscript文件,该文件下载从外部位置可执行的加密Malware,将其保存在漏洞服务器中作为“AdmacienceInit.exe”并运行它。
Imperva研究人员表示,鉴于他们的发现,企业应该:
保护Web应用程序和数据库,因为初始攻击向量是通过Web应用程序漏洞引入的,以及由Web应用程序防火墙(WAF)保护的正确修补的应用程序或应用程序应该是安全的。确保通过应用一个简单的防火墙规则,他们不会将redis服务器公开到世界。确保他们没有使用漏洞的SMB版本运行机器。