Semaine de la sécurité 17: Implications de l'attaque du serveur Linux

Une étude intéressante sur les attaques contre les systèmes de type Unix a été publiée la semaine dernière. Il décrit comment créer un hanipot à partir d'un conteneur Docker ( news , article original d'Akamai). Docker n'était pas tenu d'être utilisé, car le comportement des «pilotes de bot» du rapport n'était pas différent de l'attaque de tout autre système Linux accessible depuis le réseau avec un mot de passe par défaut. Mais lorsque vous travaillez avec Docker, la probabilité d'erreur de l'opérateur augmente - lorsqu'un conteneur accessible depuis le réseau avec les paramètres par défaut augmente accidentellement.

En conséquence, le «piratage» dans cette expérience est très simple: l'image a été élevée avec un mot de passe facilement deviné pour le compte root, ou plutôt, plusieurs paires de login-mot de passe typiques telles que root: root ou oracle: oracle ont été étudiées. Les actions ultérieures des attaquants sont intéressantes. Pour un certain nombre de connexions réussies, le scénario était le même: le système piraté était utilisé comme serveur proxy, et même pas pour les affaires criminelles - le trafic de Netflix, Twitch et des services similaires a été remarqué, évidemment, pour contourner les restrictions régionales. Mais il y a eu des tentatives réussies pour connecter le système au botnet.

On s'attendait à ce que le serveur soit attaqué par diverses incarnations du botnet Mirai qui, après avoir publié le code source d'origine sur le réseau, étaient nombreuses. Dans un cas, les attaquants ont installé un mineur de crypto-monnaie sur le serveur, offrant en même temps la possibilité de rentrer: le mot de passe root a été changé en vide et la clé ssh a été ajoutée. Le mineur lui-même est enregistré dans l'ordonnanceur cron pour démarrer après un redémarrage, et dans la liste des processus, il prétend être un client DHCP.

Enfin, une tentative a été faite pour transformer un conteneur non sécurisé en serveur de messagerie. Il a été utilisé pour soutenir des transactions frauduleuses, dans ce cas, pour diffuser le faux «travail sur Internet». Les fraudeurs ont proposé aux victimes d'acheter des produits coûteux dans les magasins d'électronique, de les envoyer aux adresses spécifiées, puis d'attendre «une compensation et des récompenses». Naturellement, il n'y a eu aucun paiement et les achats par le biais d'autres participants à l'opération (souvent ignorants) ont été vendus à la main. Le serveur de messagerie a été utilisé à la fois pour le spam et pour la communication automatisée avec ceux qui ont succombé aux promesses d'argent rapide. Un bon argument pour protéger votre propre infrastructure de serveur: un serveur piraté peut non seulement entraîner des pertes personnelles pour vous, mais sera également utilisé pour tromper d'autres personnes.

Quoi d'autre s'est produit: l'

étude de Palo Alto Networks examine le code malveillant utilisé dans les attaques sur les serveurs Citrix Gateway et un certain nombre d'autres solutions d'entreprise dans lesquelles une vulnérabilité grave a été découverte à la fin de l'année dernière . Le malware prend le contrôle des systèmes basés sur le système d'exploitation FreeBSD et est utilisé pour l'espionnage.

Une étude intéressante sur un botnet qui prétend être une télévision intelligente a été publiée . Le but de la fraude est de tromper les annonceurs. La ferme de robots a clôturé les projections de vidéos publicitaires qui devraient normalement être diffusées sur des téléviseurs de vrais utilisateurs.

Threatpost fournit des exemples«Double extorsion» dans les attaques utilisant des cryptographes de chevaux de Troie. Les cybercriminels non seulement demandent de l'argent pour décrypter les données, mais menacent plus tard de publier les informations volées si une rançon supplémentaire n'est pas versée. La prévalence de telles attaques suggère que la rançon ne vaut en aucun cas la peine d'être payée.

Dans le magasin d'extensions de navigateur Chrome , de faux modules complémentaires de crypto-monnaie ont été découverts et supprimés . Un ensemble d'extensions imitées sous les outils officiels, par exemple, pour fonctionner avec les portefeuilles matériels sécurisés KeepKey. Lors de l'installation, l'utilisateur devait se connecter au compte dans un véritable service de crypto-monnaie. Si la victime a entré les informations d'identification, les agresseurs ont retiré l'argent de son compte.

Patchs d'avril. Intel fermevulnérabilités des ordinateurs de la série NUC (élévation de privilèges avec accès local). Microsoft corrige 113 vulnérabilités , dont quatre activement exploitées. Adobe met à jour ColdFusion et AfterEffects .

Kaspersky Lab publieRapport sur l'évolution du spam 2019. 56% des messages représentent du spam dans le trafic de messagerie total, un cinquième des messages indésirables sont envoyés depuis la Chine. La plupart des courriers indésirables sont reçus par des utilisateurs d'Allemagne, de Russie et du Vietnam. Un pourcentage substantiel de messages de phishing vise à voler des comptes pour des banques, des systèmes de paiement et des portails de réseau populaires. Le rapport contient de nombreux exemples de fraude impliquant la diffusion de biens soi-disant gratuits, l'accès à de nouvelles séries d'émissions de télévision et la tromperie de la série "payer un dollar pour en obtenir dix mille".