Security Week 17: Implikasi Serangan Server Linux

Sebuah studi menarik tentang serangan pada sistem mirip Unix diterbitkan minggu lalu. Ini menjelaskan cara membuat hanipot dari wadah Docker ( berita , artikel asli Akamai). Tidak perlu menggunakan Docker, karena perilaku "driver bot" dari laporan tidak berbeda dari serangan pada sistem Linux lain yang dapat diakses dari jaringan dengan kata sandi default. Tetapi ketika bekerja dengan Docker, kemungkinan kesalahan operator meningkat - ketika sebuah wadah yang dapat diakses dari jaringan dengan pengaturan default naik secara tidak sengaja.

Karenanya, "peretasan" dalam percobaan ini sangat sederhana: gambar dibesarkan dengan kata sandi yang mudah ditebak untuk akun root, atau lebih tepatnya, beberapa pasangan kata sandi masuk seperti root: root atau oracle: oracle diselidiki. Yang menarik adalah tindakan lebih lanjut dari para penyerang. Untuk sejumlah login yang berhasil, skenarionya sama: sistem yang diretas digunakan sebagai server proxy, dan bahkan tidak untuk kasus kriminal - lalu lintas dari Netflix, Twitch, dan layanan serupa diperhatikan, jelas, untuk menghindari pembatasan regional. Tetapi ada upaya yang berhasil untuk menghubungkan sistem ke botnet.

Diharapkan, server diserang oleh berbagai inkarnasi dari botnet Mirai, yang, setelah menerbitkan kode sumber asli di jaringan, sangat banyak. Dalam satu kasus, para penyerang memasang penambang cryptocurrency di server, sementara secara bersamaan memastikan kemungkinan masuk kembali: kata sandi root diubah menjadi kosong dan kunci ssh ditambahkan. Penambang itu sendiri terdaftar di penjadwal cron untuk memulai setelah reboot, dan dalam daftar proses itu berpura-pura menjadi klien dhcp.

Akhirnya, upaya dilakukan untuk mengubah wadah yang tidak aman menjadi server email. Itu digunakan untuk mendukung transaksi penipuan, dalam hal ini, untuk menyebarkan "kerja di Internet" palsu. Penipu menawarkan korban untuk membeli barang-barang mahal di toko elektronik, mengirim mereka ke alamat yang ditentukan, dan kemudian menunggu "kompensasi dan hadiah". Secara alami, tidak ada pembayaran, dan pembelian melalui peserta lain dalam operasi (seringkali tidak menyadari hal ini) dijual dengan tangan. Server surat digunakan baik untuk spamming dan untuk komunikasi otomatis dengan mereka yang menyerah pada janji uang cepat. Argumen yang bagus untuk melindungi infrastruktur server Anda sendiri: server yang diretas tidak hanya dapat menyebabkan kerugian pribadi bagi Anda, tetapi juga akan digunakan untuk menipu orang lain.

Apa lagi yang terjadi:

Studi Palo Alto Networks memeriksa kode berbahaya yang digunakan dalam serangan pada server Citrix Gateway dan sejumlah solusi korporat lain di mana kerentanan serius ditemukan pada akhir tahun lalu . Malware mengambil kendali sistem berdasarkan OS FreeBSD dan digunakan untuk spionase.

Sebuah penelitian menarik tentang botnet yang berpura-pura menjadi TV pintar telah dipublikasikan . Tujuan penipuan adalah untuk menipu pengiklan. Bot pertanian menutup pemutaran video iklan yang biasanya dikirimkan ke aplikasi di TV pengguna nyata.

Threatpost memberikan contoh"Pemerasan ganda" dalam serangan menggunakan cryptographers trojan. Penjahat dunia maya tidak hanya menuntut uang untuk mendekripsi data, tetapi kemudian mereka mengancam untuk mempublikasikan informasi yang dicuri jika tebusan tambahan tidak dibayarkan. Prevalensi serangan semacam itu menunjukkan bahwa tebusan tidak layak dibayar dalam hal apa pun. Pengaya cryptocurrency palsu

ditemukan dan dihapus di toko ekstensi browser Chrome Satu set ekstensi ditiru di bawah alat resmi, misalnya, untuk bekerja dengan dompet perangkat keras KeepKey yang aman. Selama instalasi, pengguna diminta untuk masuk ke akun di layanan cryptocurrency nyata. Jika korban memasukkan kredensial, penyerang menarik uang dari akunnya.

Patch April. Intel tutupKerentanan dalam komputer seri NUC (eskalasi hak istimewa dengan akses lokal). Microsoft memperbaiki 113 kerentanan , termasuk empat yang dieksploitasi secara aktif. Adobe memperbarui ColdFusion dan AfterEffects .

Kaspersky Lab menerbitkanLaporan Evolusi Spam 2019. 56% dari pesan akun untuk spam dalam total lalu lintas email, seperlima dari pesan sampah dikirim dari Cina. Sebagian besar email spam diterima oleh pengguna dari Jerman, Rusia dan Vietnam. Sebagian besar pesan phishing ditujukan untuk mencuri rekening bank, sistem pembayaran, dan portal jaringan populer. Laporan tersebut berisi banyak contoh penipuan yang melibatkan penyebaran produk yang seharusnya gratis, akses ke serial acara TV baru, dan penipuan dari seri “bayar satu dolar untuk mendapatkan sepuluh ribu.”