BLACK HAT EUROPE 2023 – Лондон – Зловредният софтуер HeadCrab, който добавя заразени устройства към ботнет за използване в криптомайнинг и други атаки, се появи отново с нов блестящ вариант, който позволява рут достъп до сървъри с отворен код Redis.
Изследователи от Aqua Security заявиха, че вторият вариант на зловредния софтуер за криптомайнинг е заразил 1100 сървъра; първият вариант вече е заразил поне 1200 сървъра.
Изследователят в областта на сигурността Асаф Ейтани, който е част от Team Nautilus, изследователския екип на Aqua Security, разказва пред Dark Reading, че макар HeadCrab да не е традиционен руткит, създателят на зловредния софтуер е добавил възможността той да контролира дадена функция и да изпраща отговор.
„По принцип това е поведение на руткит в смисъл, че той контролира всички отговори за тези места“, казва Ейтани. „Така че той може просто да модифицира отговора и да стане невидим.“
Ейтани добавя: „Традицията на термина руткит е зловреден софтуер, който има достъп до рут и контролира всичко, но в този смисъл вие можете да контролирате това, което вижда потребителят.“
Новият вариант е снабден с незначителни актуализации, които позволяват на нападателя да скрие по-добре действията си чрез премахване на потребителските команди и добавяне на криптиране на инфраструктурата за управление и контрол.
„[Смятаме, че] той все още го модифицира и очакваме да открием по-нова версия на този зловреден софтуер и да видим начина, по който той реагира на нашето публикуване [на допълнителни подробности]“, казва Ейтани. „Той не се е отказал.“
Подробности за двата варианта бяха споделени днес в презентация на Ейтани и неговия колега, старши анализатор на данни Ницан Яков.
Особено уникален елемент на HeadCrab е „мини блог“ в зловредния софтуер, в който авторът на зловредния софтуер пише технически подробности за него и оставя имейл адрес Proton Mail, за да остане анонимен.
Изследователите от Aqua Security използваха имейла, за да се свържат със създателя на HeadCrab – който се подвизава под кодовото име Ice9 – но не успяха да определят името или местоположението му. Въпреки това Ice9 казал на изследователите, че те са първите хора, които са му изпратили имейл.
В разговорите по електронната поща с изследователите Ice9 казал, че зловредният софтуер не намалява производителността на сървъра и може да премахва други зловредни инфекции. Той също така изпратил на изследователите хеш на зловредния софтуер, за да могат да го проверят.
След откриването на втория вариант в ново съобщение в миниблога Ice9 похвали работата, която са свършили изследователите от Aqua. „Той спомена и някои технически подробности, които пропуснахме от първата версия, а последната бележка беше относно техническите подробности в новата версия и как се е отървал от потребителските команди“, казва Айтани.
Ice9 е единственият потребител на HeadCrab и единствено контролира инфраструктурата за управление и контрол, отбелязва Ейтани.
HeadCrab заразява сървъра Redis, когато нападателят използва командата SLAVEOF, изтегля злонамерен модул и стартира два нови файла: криптомайнера и конфигурационен файл. Според изследователите процесът включва команда, която позволява на администраторите да определят сървър в рамките на Redis Cluster като „подчинен“ на друг „главен“ сървър в рамките на клъстера.
Изследователите препоръчват на организациите да сканират за уязвимости и неправилни конфигурации своите сървъри и да използват защитен режим в Redis, за да намалят вероятността за заразяване от HeadCrab.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.