Achtung! Hacker nutzten die SambaCry-Sicherheitslücke, um Linux-Systeme zu hacken

Ursprünglicher Autor: Swati Khandelwal
  • Übersetzung


Erinnerst du dich an SambaCry ?

Vor zwei Wochen berichteten wir, dass in der Samba-Netzwerksoftware (einer weiteren Implementierung des SMB-Netzwerkprotokolls) eine 7-jährige kritische Sicherheitslücke gefunden wurde. Es bietet die Möglichkeit, Code remote auszuführen, und ermöglicht es einem Angreifer, die Kontrolle über anfällige Linux- und Unix-Computer zu übernehmen.

Weitere Informationen zur Sicherheitsanfälligkeit in SambaCry (CVE-2017-7494) finden Sie in unserem vorherigen Artikel .

Zu diesem Zeitpunkt wurde festgestellt, dass sich im Internet etwa 485.000 Samba-fähige Computer mit einem offenen Port von 445 befanden. Die Forscher sagten voraus, dass sich Angriffe auf der Basis der SambaCry-Sicherheitsanfälligkeit wie WannaCry-Ransomware ausbreiten könnten.

Die Vorhersage erwies sich als ziemlich genau. Ein Ködercomputer, der von einem Forscherteam von Kaspersky Lab erstellt wurde, hat einen Virus entdeckt, der die SambaCry-Sicherheitslücke nutzt, um Linux-Computer zu infizieren - Anweisungen zum Herunterladen und einen Cryptominer.

Der Sicherheitsspezialist Omri Ben Bassat hat diesen Virus unabhängig von Kaspersky Lab ebenfalls erkannt und als "EternalMiner" bezeichnet.

Laut Forschern begann eine unbekannte Gruppe von Hackern, Linux-Computer in das Botnetz zu hijacken, nur eine Woche nachdem die Samba-Schwachstelle öffentlich bekannt wurde. Sobald der Virus auf dem Computer des Opfers ist, installiert er eine aktualisierte Version von „CPUminer“ - einer Software für das Crypto-Mining der digitalen Währung „ Monero “.

Mithilfe der SambaCry-Sicherheitsanfälligkeit führen Angreifer auf anfälligen Systemen zwei Service-Workloads aus:

(349d84b3b176bbc9834230351ef3bc2a - Backdoor.Linux.Agent.an) INAebsGB.so - eine Reverse-Shell, die Angreifern Remotezugriff bietet.

(2009af3fed2a4704c224694dfc4b31dc - Trojan-Downloader.Linux.EternalMiner.a) CblRWuoCc.so ist eine Hintertür, die Dienstprogramme zum Starten des CPUminer enthält.

Laut Forschern von Kaspersky Lab können Angreifer über die im System verbleibende Reverse-Shell die Konfiguration eines bereits laufenden Miners ändern oder den Computer des Opfers mit anderen Arten von Malware infizieren.


INAebsGB.so



Kernfunktionalität cblRWuoCc.so

Cryptocurrency Mining kann eine kostspielige Investition sein, da es enorme Rechenleistung erfordert. Solche Malware vereinfacht diesen Prozess für Cyberkriminelle und ermöglicht ihnen, die Rechenressourcen infizierter Systeme zu nutzen, um Gewinne zu erzielen.

Möglicherweise erinnern Sie sich an einen Artikel über Adylkuzz , einen Miner- Virus, der die SMB-Sicherheitsanfälligkeit in Windows-Systemen mindestens zwei Wochen vor Beginn des WanaCry-Angriffs ausgenutzt hat.

Das Schadprogramm Adylkuzz hat Monero außerdem mit einer riesigen Menge an Computerressourcen von gehackten Windows-Computern abgebaut.


Hackerkonto ab dem 08.06.2017

Die Organisatoren des auf SambaCry basierenden Mining-Botnets haben bereits 98 XMRs verdient, die heute 5.380 US-Dollar kosten. Diese Zahl wächst stetig mit der zunehmenden Anzahl infizierter Linux-Systeme.

„Am ersten Tag erhielten sie ungefähr 1 XMR (ungefähr 55 USD zum Wechselkurs vom 10.06.2017), aber in der vergangenen Woche ist das Einkommen auf 5 XMR pro Tag gestiegen“, sagen die Forscher.


Transaktionsprotokoll mit allen Erlösen der Angreifer

Samba-Entwickler haben das Problem bereits in neuen Versionen von Samba 4.6.4 / 4.5.10 / 4.4.14 behoben und fordern diejenigen auf, die die verwundbare Version von Samba verwenden, um den Patch so schnell wie möglich zu installieren .

PS Weitere interessante Artikel aus unserem Blog:

Wie man ein Gesetz oder eine Datenverarbeitung in verteilten Systemen in einer klaren Sprache weitergibt
TOP 100 englischsprachige Websites zum Thema IT
Lastverteilung in den Wolken
Bestes Spielzeug für zukünftige Technikfreaks aus unserer Kindheit (UdSSR und USA)

Jetzt auch beliebt: