Зловредни кодовеКибератакиУязивмости, експлойти, ъпдейти

Как вашият сървър (или сайт) прави пари за хакерите

Над 63,000 долара са "заработили" създателите на зловредна модификация на легален софтуер за майнване на валутата Monero само за 4 месеца

Последен ъпдейт на 28 юни 2018 в 01:34 ч.

Докато целият свят очаква с нетърпение какви нови висоти ще покори обменният курс на криптовалутата биткойн (bitcoin) и какви ще бъдат наследниците на вируси като WannaCryptor или Petya, идват нови и много по-потайни методи за генериране на приходи за кибер-престъпността.

Една подобна дейност се случва поне от май 2017 г. – оттогава насам хакери атакуват Windows сървъри, чийто ъпдейти не са инсталирани навреме (или иначе казано – не са патчнати) и инсталират т.нар. криптомайнъри. Това са кодове, които използват изчислителната мощ на компютрите на посетителите на уебсайтове, без те да подозират за това. А тази мощност се използва за „копаене“ на криптовалутата Monero (XMR), алтернатива на Биткойн.

За да постигнат този ефект, атакуващите са модифицирали open source софтуер за майнване на Monero и използват добре позната уязвимост на Microsoft IIS 6.0, за да инсталират кодовете си на непатчнати сървъри. В рамките на последните 3 месеца създателите на софтуера са заразили стотици уебсайтове, част от които и български, и са генерирали за себе си над 63,000 от криптовалутата Monero.

Клиентите на ESET са защитени от опити за експлоатиране на уязвимостта CVE-2017-7269, дори и, ако сървърите им не са патчнати.

Защо Monero, а не Bitcoin?

Макар и с доста по-ниска пазарна стойност от Bitcoin, Monero има няколко допълнителни функционалности, които го превръщат в много привлекателна криптовалута, обвързана със зловредни кодове. Например, алгоритъм за доказване на ефективност CryptoNight, който предпочита компютърни или сървърни процесори (CPU) и видео карти (GPU), за разлика от специализирания хардуер, необходим за работа с биткойни.

Не, че стойността на Monero не расте – само за последния месец тя е скочила от 40 USD/XMR до 150 USD/XMR – след което е загубила част от позициите си до около 100 USD/XMR към момента.

Криптомайнърът

Засечен за първи път на 26 май 2017 г., кодът, използван от хакерите, е модифицирана версия на иначе легитимния софтуер за майнване на Monero xmrig, версия 0.8.2 (публикувана на същия ден – 26 май 2017 г.).

При създаването на зловредния си код, кибер-престъпниците не са промени структурата на оригиналната база данни – ако изключим факта, че са хардкоднали адреса на портфейла си и URL на майнинг пула, както и няколко допълнителни аргумента, за да спрат всички възможни паралелно работещи инсталации на софтуера. По този начин те си гарантират, че на заразения компютър ще работи само и единствено най-новата инсталация на майнъра – тази, създадена от хакерите. Иначе казано – модификациите надали са отнели повече от няколко минути, което обяснява как зловредният код се появява буквално в същия ден с публикуването на легитимната версия на xmrig.

Разпространение

Разпространението на майнъра към компютрите на жертвите е най-трудната част от операцията. Дори и за нея, създателите са прибегнали до най-лесния подход. Засечени са 2 IP адреса, през които се осъществяват brute-force атаки срещу уязвимостта CVE-2017-7269.

Тя е открита през март 2017 г. и позволява на атакуващите да инжектират кода, с който да инициират експлоатирането на компютрите на посетителите незасегнати сайтове.

Решенията на ESET засичат майнъра с името Win32/CoinMiner.AMW trojan, а опитите за проникване в сървър като webDAV/ExplodingCan.

Малко статистика

Благодарение на факта, че статистиката за дейността на майнърите на Monero е публично достъпна, ESET успяват да засекат и комбинират всички хашове на жертвите, което представлява общата изчислителна мощ, използвана за „копаене“ към съответния акаунт. Стойностите се движат около 100 килохаша на секунда (kH/s), с пикове от 160 kH/s в края на август.

Като цяло, сборът от всички заразени машини е XMR5.5 на ден до края на август и над XMR420 от старта на атаката. При обменен курс от 150 USD/XMR, това означава 825 долара на ден или над 63,000 долара общ приход за създателите на зловредния код.

Атакуващите са били много активни в края на август, но от началото на октомври не са засечени масови атаки – въпреки че вирусът се появи в България именно през октомври –засякохме няколко сайта, които бяха заразени с кода – но той е отстранен от тях своевременно.

Освен това, тъй като майнърът няма механизъм за саморазпространение, хакерите непрекъснато губят вече компрометирани машини и скоростта на генериране е спаднала на 60 kH/s към момента на писането на този текст.

Това, обаче, не е първата “почивка“ на авторите на кода – и не е изключено да станем свидетели на нова подобна кампания в бъдеще. Поддържайте сървърите си винаги във форма – ъпдейтвате операционните им системи и ги защитавайте с лицензиран антивирусен софтуер като първо ниво на защитата си. Или се възползвайте от услугите на SOC (Security Operation Center), който да следи дейността им постоянно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Покажи още
Back to top button