Sicherheitswoche 17: Auswirkungen des Linux Server-Angriffs

Letzte Woche wurde eine interessante Studie über Angriffe auf Unix-ähnliche Systeme veröffentlicht. Es wird beschrieben, wie ein Hanipot aus einem Docker-Container erstellt wird ( Nachrichten , Akamais Originalartikel ). Die Verwendung von Docker war nicht erforderlich, da sich das Verhalten der "Bot-Treiber" aus dem Bericht nicht von einem Angriff auf ein anderes Linux-System unterschied, auf das über das Netzwerk mit einem Standardkennwort zugegriffen werden kann. Bei der Arbeit mit Docker steigt jedoch die Wahrscheinlichkeit von Bedienungsfehlern - wenn ein Container, auf den über das Netzwerk mit Standardeinstellungen zugegriffen werden kann, versehentlich steigt.

Dementsprechend ist das „Hacken“ in diesem Experiment sehr einfach: Das Bild wurde mit einem leicht zu erratenden Passwort für das Root-Konto erstellt, oder vielmehr wurden mehrere typische Login-Passwort-Paare wie root: root oder oracle: oracle untersucht. Interessant sind die weiteren Aktionen der Angreifer. Für eine Reihe erfolgreicher Anmeldungen war das Szenario dasselbe: Das gehackte System wurde als Proxyserver verwendet, und nicht einmal für kriminelle Fälle - Datenverkehr von Netflix, Twitch und ähnlichen Diensten wurde offensichtlich bemerkt, um regionale Einschränkungen zu umgehen. Es gab jedoch erfolgreiche Versuche, das System mit dem Botnetz zu verbinden.

Erwartungsgemäß wurde der Server von verschiedenen Inkarnationen des Mirai-Botnetzes angegriffen, die nach der Veröffentlichung des ursprünglichen Quellcodes im Netzwerk zahlreich waren. In einem Fall installierten die Angreifer einen Cryptocurrency Miner auf dem Server und boten gleichzeitig die Möglichkeit einer erneuten Eingabe: Das Root-Passwort wurde in leer geändert und der SSH-Schlüssel hinzugefügt. Der Miner selbst ist im Cron-Scheduler registriert, um nach einem Neustart zu starten, und in der Liste der Prozesse gibt er vor, ein DHCP-Client zu sein.

Schließlich wurde versucht, einen unsicheren Container in einen Mailserver zu verwandeln. Es wurde verwendet, um betrügerische Transaktionen zu unterstützen, in diesem Fall um die gefälschte "Arbeit im Internet" zu verbreiten. Betrüger boten den Opfern an, teure Waren in Elektronikgeschäften zu kaufen, sie an die angegebenen Adressen zu senden und dann auf „Entschädigung und Belohnungen“ zu warten. Natürlich gab es keine Zahlungen, und Einkäufe durch andere Teilnehmer an der Operation (die dies oft nicht wussten) wurden von Hand verkauft. Der Mailserver wurde sowohl für Spam als auch für die automatisierte Kommunikation mit Personen verwendet, die dem Versprechen von schnellem Geld erlegen waren. Ein gutes Argument für den Schutz Ihrer eigenen Serverinfrastruktur: Ein gehackter Server kann nicht nur zu persönlichen Verlusten für Sie führen, sondern auch dazu verwendet werden, andere Personen zu täuschen.

Was noch passiert ist:

Die Studie von Palo Alto Networks untersucht bösartigen Code, der bei Angriffen auf Citrix Gateway-Server und eine Reihe anderer Unternehmenslösungen verwendet wird, bei denen Ende letzten Jahres eine schwerwiegende Sicherheitsanfälligkeit entdeckt wurde . Die Malware übernimmt die Kontrolle über Systeme, die auf dem FreeBSD-Betriebssystem basieren, und wird zur Spionage verwendet.

Eine interessante Studie über ein Botnetz, das sich als Smart-TV ausgibt, wurde veröffentlicht . Der Zweck von Betrug besteht darin, Werbetreibende auszutricksen. Die Bot-Farm schloss die Vorführungen von Werbevideos, die normalerweise an Anwendungen auf Fernsehgeräten von echten Benutzern gesendet werden.

Threatpost bietet Beispiele"Doppelte Erpressung" bei Angriffen mit Trojaner-Kryptographen. Cyberkriminelle verlangen nicht nur Geld für die Entschlüsselung der Daten, sondern drohen später, die gestohlenen Informationen zu veröffentlichen, wenn kein zusätzliches Lösegeld gezahlt wird. Die Verbreitung solcher Angriffe deutet darauf hin, dass das Lösegeld auf keinen Fall eine Zahlung wert ist.

Im Chrome-Browsererweiterungsspeicher wurden gefälschte Kryptowährungs-Add-Ons entdeckt und entfernt . Eine Reihe von Erweiterungen, die unter offiziellen Tools nachgeahmt wurden, um beispielsweise mit KeepKey Secure Hardware Wallets zu arbeiten. Während der Installation musste sich der Benutzer in einem echten Kryptowährungsdienst bei dem Konto anmelden. Wenn das Opfer die Anmeldeinformationen eingab, zogen die Angreifer das Geld von ihrem Konto ab.

April Patches. Intel schließtSicherheitslücken in Computern der NUC-Serie (Eskalation von Berechtigungen mit lokalem Zugriff). Microsoft behebt 113 Sicherheitslücken , darunter vier aktiv ausgenutzte. Adobe aktualisiert ColdFusion und AfterEffects .

Kaspersky Lab veröffentlichtSpam-Entwicklungsbericht 2019. 56% der Nachrichten machen Spam im gesamten E-Mail-Verkehr aus, ein Fünftel der Junk-Nachrichten wird aus China gesendet. Die meisten Spam-E-Mails werden von Benutzern aus Deutschland, Russland und Vietnam empfangen. Ein erheblicher Prozentsatz der Phishing-Nachrichten zielt darauf ab, Konten für Banken, Zahlungssysteme und beliebte Netzwerkportale zu stehlen. Der Bericht enthält viele Beispiele für Betrug, der die Verbreitung angeblich kostenloser Waren, den Zugang zu neuen Serien von Fernsehsendungen und die Täuschung aus der Serie „Zahlen Sie einen Dollar, um zehntausend zu bekommen“ beinhaltet.