BLACK HAT EUROPE 2023 – Лондон – Зловредният софтуер HeadCrab, който добавя заразени устройства към ботнет за използване в криптомайнинг и други атаки, се появи отново с нов блестящ вариант, който позволява рут достъп до сървъри с отворен код Redis.

Изследователи от Aqua Security заявиха, че вторият вариант на зловредния софтуер за криптомайнинг е заразил 1100 сървъра; първият вариант вече е заразил поне 1200 сървъра.

Руут достъп до Redis?

Изследователят в областта на сигурността Асаф Ейтани, който е част от Team Nautilus, изследователския екип на Aqua Security, разказва пред Dark Reading, че макар HeadCrab да не е традиционен руткит, създателят на зловредния софтуер е добавил възможността той да контролира дадена функция и да изпраща отговор.

„По принцип това е поведение на руткит в смисъл, че той контролира всички отговори за тези места“, казва Ейтани. „Така че той може просто да модифицира отговора и да стане невидим.“

Ейтани добавя: „Традицията на термина руткит е зловреден софтуер, който има достъп до рут и контролира всичко, но в този смисъл вие можете да контролирате това, което вижда потребителят.“

Втори вариант

Новият вариант е снабден с незначителни актуализации, които позволяват на нападателя да скрие по-добре действията си чрез премахване на потребителските команди и добавяне на криптиране на инфраструктурата за управление и контрол.

„[Смятаме, че] той все още го модифицира и очакваме да открием по-нова версия на този зловреден софтуер и да видим начина, по който той реагира на нашето публикуване [на допълнителни подробности]“, казва Ейтани. „Той не се е отказал.“

Подробности за двата варианта бяха споделени днес в презентация на Ейтани и неговия колега, старши анализатор на данни Ницан Яков.

Отговаряне

Особено уникален елемент на HeadCrab е „мини блог“ в зловредния софтуер, в който авторът на зловредния софтуер пише технически подробности за него и оставя имейл адрес Proton Mail, за да остане анонимен.

Изследователите от Aqua Security използваха имейла, за да се свържат със създателя на HeadCrab – който се подвизава под кодовото име Ice9 – но не успяха да определят името или местоположението му. Въпреки това Ice9 казал на изследователите, че те са първите хора, които са му изпратили имейл.

В разговорите по електронната поща с изследователите Ice9 казал, че зловредният софтуер не намалява производителността на сървъра и може да премахва други зловредни инфекции. Той също така изпратил на изследователите хеш на зловредния софтуер, за да могат да го проверят.

След откриването на втория вариант в ново съобщение в миниблога Ice9 похвали работата, която са свършили изследователите от Aqua. „Той спомена и някои технически подробности, които пропуснахме от първата версия, а последната бележка беше относно техническите подробности в новата версия и как се е отървал от потребителските команди“, казва Айтани.

Ice9 е единственият потребител на HeadCrab и единствено контролира инфраструктурата за управление и контрол, отбелязва Ейтани.

Поемане на контрола

HeadCrab заразява сървъра Redis, когато нападателят използва командата SLAVEOF, изтегля злонамерен модул и стартира два нови файла: криптомайнера и конфигурационен файл. Според изследователите процесът включва команда, която позволява на администраторите да определят сървър в рамките на Redis Cluster като „подчинен“ на друг „главен“ сървър в рамките на клъстера.

Изследователите препоръчват на организациите да сканират за уязвимости и неправилни конфигурации своите сървъри и да използват защитен режим в Redis, за да намалят вероятността за заразяване от HeadCrab.

 

Източник: DARKReading

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

ИИ в киберсигурността: 20 г...

Изкуственият интелект се превърна в ключов...
17/01/2025

DORA: Провеждане на тестове...

Международният валутен фонд изчислява, че през...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!