Semana de la seguridad 17: Implicaciones del ataque al servidor Linux

La semana pasada se publicó un interesante estudio sobre ataques a sistemas tipo Unix. Describe cómo crear un hanipot a partir de un contenedor Docker ( noticias , artículo original de Akamai). No era necesario usar Docker, porque el comportamiento de los "controladores de bot" del informe no era diferente de un ataque a cualquier otro sistema Linux accesible desde la red con una contraseña predeterminada. Pero cuando se trabaja con Docker, aumenta la probabilidad de error del operador, cuando un contenedor accesible desde la red con la configuración predeterminada aumenta accidentalmente.

En consecuencia, el "pirateo" en este experimento es muy simple: la imagen se generó con una contraseña fácil de adivinar para la cuenta raíz, o más bien, se investigaron varios pares típicos de inicio de sesión y contraseña como root: root u oracle: oracle. De interés son las acciones posteriores de los atacantes. Para varios inicios de sesión exitosos, el escenario era el mismo: el sistema pirateado se usaba como servidor proxy, y ni siquiera para casos criminales: se notó el tráfico de Netflix, Twitch y servicios similares, obviamente, para eludir las restricciones regionales. Pero ha habido intentos exitosos de conectar el sistema a la botnet.

Como era de esperar, el servidor fue atacado por varias encarnaciones de la botnet Mirai, que, después de publicar el código fuente original en la red, fueron numerosas. En un caso, los atacantes instalaron un minero de criptomonedas en el servidor, al mismo tiempo que brindaban la posibilidad de volver a ingresar: la contraseña de root se cambió a vacía y se agregó la clave ssh. El minero mismo está registrado en el programador cron para comenzar después de un reinicio, y en la lista de procesos pretende ser un cliente dhcp.

Finalmente, se intentó convertir un contenedor inseguro en un servidor de correo. Fue utilizado para respaldar transacciones fraudulentas, en este caso, para difundir el falso "trabajo en Internet". Los estafadores ofrecieron a las víctimas comprar bienes caros en tiendas de electrónica, enviarlos a las direcciones especificadas y luego esperar "compensaciones y recompensas". Naturalmente, no hubo pagos, y las compras a través de otros participantes en la operación (a menudo sin darse cuenta de esto) se vendieron a mano. El servidor de correo se usó tanto para enviar correos no deseados como para comunicarse de forma automática con quienes sucumbieron a las promesas de dinero rápido. Un buen argumento para proteger su propia infraestructura de servidor: un servidor pirateado no solo puede ocasionarle pérdidas personales, sino que también se utilizará para engañar a otras personas.

Qué más sucedió:

el estudio de Palo Alto Networks examina el código malicioso utilizado en los ataques a los servidores de Citrix Gateway y una serie de otras soluciones corporativas en las que se descubrió una vulnerabilidad grave a fines del año pasado . El malware toma el control de los sistemas basados ​​en el sistema operativo FreeBSD y se utiliza para el espionaje.

Se ha publicado un interesante estudio de una botnet que pretende ser una televisión inteligente. El propósito del fraude es engañar a los anunciantes. La granja de bots cerró las proyecciones de videos publicitarios que normalmente se entregarían a aplicaciones en televisores de usuarios reales.

Threatpost proporciona ejemplos"Doble extorsión" en ataques con criptógrafos troyanos. Los ciberdelincuentes no solo exigen dinero por descifrar los datos, sino que luego amenazan con publicar la información robada si no se paga un rescate adicional. La prevalencia de tales ataques sugiere que no vale la pena pagar el rescate en ningún caso.

En la tienda de extensiones del navegador Chrome , se descubrieron y eliminaron complementos falsos de criptomonedas. Un conjunto de extensiones imitadas bajo herramientas oficiales, por ejemplo, para trabajar con billeteras de hardware seguras KeepKey. Durante la instalación, el usuario debía iniciar sesión en la cuenta en un servicio de criptomonedas real. Si la víctima ingresó las credenciales, los atacantes retiraron el dinero de su cuenta.

Parches de abril. Intel cierravulnerabilidades en las computadoras de la serie NUC (escalada de privilegios con acceso local). Microsoft corrige 113 vulnerabilidades , incluidas cuatro explotadas activamente. Adobe actualiza ColdFusion y AfterEffects .

Kaspersky Lab publicaInforme de evolución de spam de 2019. El 56% de los mensajes representan spam en el tráfico total de correo, una quinta parte de los mensajes basura se envían desde China. La mayoría de los correos electrónicos no deseados son recibidos por usuarios de Alemania, Rusia y Vietnam. Un porcentaje sustancial de los mensajes de phishing están destinados a robar cuentas de bancos, sistemas de pago y portales de redes populares. El informe contiene muchos ejemplos de fraude que implican la difusión de productos supuestamente gratuitos, el acceso a nuevas series de programas de televisión y el engaño de la serie "paga un dólar para obtener diez mil".