أسبوع الأمن 17: آثار هجوم خادم لينكس

تم نشر دراسة مثيرة للاهتمام حول الهجمات على أنظمة شبيهة بـ Unix الأسبوع الماضي. يصف كيفية إنشاء هانيبوت من حاوية Docker ( الأخبار ، مقالة Akamai الأصلية ). لم يكن مطلوبًا استخدام Docker ، لأن سلوك "برامج تشغيل الروبوت" من التقرير لم يكن مختلفًا عن الهجوم على أي نظام Linux آخر يمكن الوصول إليه من الشبكة باستخدام كلمة مرور افتراضية. ولكن عند العمل مع Docker ، يزداد احتمال خطأ المشغل - عندما ترتفع عن طريق الخطأ حاوية يمكن الوصول إليها من الشبكة باستخدام الإعدادات الافتراضية.

وفقًا لذلك ، فإن "الاختراق" في هذه التجربة بسيط للغاية: تم رفع الصورة بكلمة مرور يسهل تخمينها للحساب الجذر ، أو بالأحرى ، تم التحقق من العديد من أزواج تسجيل الدخول وكلمة المرور النموذجية مثل root: root أو oracle: oracle. من المهم هي الإجراءات الإضافية للمهاجمين. بالنسبة لعدد من عمليات تسجيل الدخول الناجحة ، كان السيناريو هو نفسه: تم استخدام النظام المخترق كخادم وكيل ، ولا حتى في القضايا الجنائية - حركة المرور من Netflix و Twitch ، وتمت ملاحظة الخدمات المماثلة ، من الواضح ، للتحايل على القيود الإقليمية. ولكن كانت هناك محاولات ناجحة لربط النظام بالبوتنت.

من المتوقع أن يكون الخادم قد تعرض للهجوم من قبل العديد من التجسيدات لـ Mirai botnet ، والتي ، بعد نشر كود المصدر الأصلي على الشبكة ، كانت عديدة. في حالة واحدة ، قام المهاجمون بتثبيت عامل منجم العملة المشفرة على الخادم ، مع ضمان إمكانية إعادة الدخول في نفس الوقت: تم تغيير كلمة مرور الجذر إلى فارغة وإضافة مفتاح ssh. يتم تسجيل عامل المنجم نفسه في جدولة cron لبدء التشغيل بعد إعادة التشغيل ، وفي قائمة العمليات يتظاهر بأنه عميل dhcp.

أخيرًا ، جرت محاولة لتحويل حاوية غير آمنة إلى خادم بريد. تم استخدامه لدعم المعاملات الاحتيالية ، في هذه الحالة ، لنشر "العمل المزيف على الإنترنت". عرض المحتالون على الضحايا شراء سلع باهظة الثمن من متاجر الإلكترونيات ، وإرسالها إلى العناوين المحددة ، ثم انتظار "التعويض والمكافآت". بطبيعة الحال ، لم تكن هناك مدفوعات ، وتم بيع المشتريات من خلال مشاركين آخرين في العملية (غالبًا ما لا يعلمون بذلك) يدويًا. تم استخدام خادم البريد في كل من البريد الإلكتروني العشوائي والتواصل الآلي مع أولئك الذين استسلموا لوعودهم بأموال سريعة. حجة جيدة لحماية البنية التحتية للخادم الخاص بك: لا يمكن للخادم المخترق أن يؤدي فقط إلى خسائر شخصية بالنسبة لك ، ولكن سيتم استخدامه أيضًا لخداع الآخرين.

ماذا حدث أيضًا: تدرس

دراسة Palo Alto Networks الشفرة الخبيثة المستخدمة في الهجمات على خوادم Citrix Gateway وعددًا من حلول الشركات الأخرى التي تم اكتشاف ثغرة خطيرة فيها في نهاية العام الماضي . تتحكم البرامج الضارة في الأنظمة المستندة إلى نظام تشغيل FreeBSD وتستخدم للتجسس. تم نشر دراسة مثيرة للاهتمام عن الروبوتات التي تدعي أنها تلفزيون ذكي. الغرض من الاحتيال هو خداع المعلنين. أغلقت مزرعة الروبوتات عرض مقاطع الفيديو الإعلانية التي يتم تسليمها عادةً إلى التطبيقات على أجهزة تلفزيون المستخدمين الحقيقيين. يقدم Threatpost أمثلة



"ابتزاز مزدوج" في الهجمات باستخدام برامج تشفير طروادة. لا يطلب مجرمو الإنترنت المال فقط لفك تشفير البيانات ، ولكنهم يهددون فيما بعد بنشر المعلومات المسروقة إذا لم يتم دفع فدية إضافية. يشير انتشار مثل هذه الهجمات إلى أن الفدية لا تستحق الدفع على أي حال.

في متجر ملحق متصفح Chrome ، تم اكتشاف وإزالة الوظائف الإضافية المزيفة للعملات المشفرة. مجموعة من الإضافات التي تم تقليدها تحت الأدوات الرسمية ، على سبيل المثال ، للعمل مع محافظ أجهزة KeepKey الآمنة. أثناء التثبيت ، كان مطلوبًا من المستخدم تسجيل الدخول إلى الحساب في خدمة عملة مشفرة حقيقية. إذا دخلت الضحية أوراق الاعتماد ، سحب المهاجمون الأموال من حسابها.

بقع أبريل. يغلق إنتلنقاط الضعف في أجهزة الكمبيوتر من سلسلة NUC (تصعيد الامتياز مع الوصول المحلي). تقوم Microsoft بإصلاح 113 ثغرة أمنية ، بما في ذلك أربع ثغرات مستغلة بشكل نشط. تقوم Adobe بتحديث ColdFusion و AfterEffects . تنشر

كاسبرسكي لابتقرير تطور البريد الإلكتروني العشوائي لعام 2019. تمثل 56٪ من الرسائل رسائل غير مرغوب فيها في إجمالي حركة البريد ، ويتم إرسال خمس الرسائل غير المرغوب فيها من الصين. يتم تلقي معظم رسائل البريد الإلكتروني العشوائية من قبل مستخدمين من ألمانيا وروسيا وفيتنام. تهدف نسبة كبيرة من رسائل التصيد الاحتيالي إلى سرقة حسابات البنوك وأنظمة الدفع وبوابات الشبكات الشائعة. يحتوي التقرير على العديد من الأمثلة على الاحتيال التي تنطوي على نشر السلع التي يفترض أنها مجانية ، والوصول إلى سلسلة جديدة من البرامج التلفزيونية ، والخداع من سلسلة "دفع دولار للحصول على عشرة آلاف"