Semana 17 de Segurança: Implicações do ataque ao servidor Linux

Um estudo interessante sobre ataques a sistemas do tipo Unix foi publicado na semana passada. Ele descreve como criar um hanipot a partir de um contêiner do Docker ( notícias , artigo original da Akamai). Não foi necessário usar o Docker, porque o comportamento dos "drivers de bot" do relatório não foi diferente de um ataque a qualquer outro sistema Linux acessível na rede com uma senha padrão. Porém, ao trabalhar com o Docker, a probabilidade de erro do operador aumenta - quando um contêiner acessível da rede com configurações padrão aumenta acidentalmente.

Dessa forma, o "hacking" nesse experimento é muito simples: a imagem foi criada com uma senha fácil de adivinhar para a conta root, ou melhor, vários pares típicos de senha de login como root: root ou oracle: oracle foram investigados. De interesse são as ações adicionais dos atacantes. Para vários logins bem-sucedidos, o cenário era o mesmo: o sistema invadido era usado como servidor proxy, e nem mesmo para casos criminais - o tráfego da Netflix, Twitch e serviços semelhantes foi observado, obviamente, para contornar as restrições regionais. Mas houve tentativas bem-sucedidas de conectar o sistema à botnet.

Espera-se que o servidor tenha sido atacado por várias encarnações da botnet Mirai, que, após a publicação do código fonte original na rede, eram numerosas. Em um caso, os atacantes instalaram um minerador de criptomoeda no servidor, fornecendo ao mesmo tempo a possibilidade de reinserção: a senha do root foi alterada para vazia e a chave ssh foi adicionada. O próprio minerador é registrado no planejador cron para iniciar após uma reinicialização e, na lista de processos, ele finge ser um cliente dhcp.

Finalmente, foi feita uma tentativa de transformar um contêiner inseguro em um servidor de correio. Foi usado para apoiar transações fraudulentas, neste caso, para espalhar o falso "trabalho na Internet". Os fraudadores ofereceram às vítimas a compra de mercadorias caras em lojas de eletrônicos, enviá-las para os endereços especificados e, em seguida, aguardar "compensações e recompensas". Naturalmente, não houve pagamentos e as compras feitas por outros participantes da operação (muitas vezes desconhecem isso) foram vendidas à mão. O servidor de correio era usado tanto para spam quanto para comunicação automatizada com aqueles que sucumbiam às promessas de dinheiro rápido. Um bom argumento para proteger sua própria infraestrutura de servidor: um servidor invadido pode não apenas levar a perdas pessoais para você, mas também será usado para enganar outras pessoas.

O que mais aconteceu:

O estudo da Palo Alto Networks examina códigos maliciosos usados ​​em ataques a servidores Citrix Gateway e várias outras soluções corporativas nas quais uma séria vulnerabilidade foi descoberta no final do ano passado . O malware controla os sistemas baseados no sistema operacional FreeBSD e é usado para espionagem.

Um estudo interessante de uma botnet que finge ser uma TV inteligente foi publicado . O objetivo da fraude é enganar os anunciantes. O bot farm fechou as exibições de vídeos publicitários que normalmente seriam entregues aos aplicativos em TVs de usuários reais.

O Threatpost fornece exemplos“Dupla extorsão” em ataques usando criptografadores de trojan. Os cibercriminosos não apenas exigem dinheiro para descriptografar os dados, mas também ameaçam publicar as informações roubadas se um resgate adicional não for pago. A prevalência de tais ataques sugere que o resgate não vale a pena pagar em nenhum caso.

Na loja de extensões do navegador Chrome , os complementos falsos de criptomoeda foram descobertos e removidos . Um conjunto de extensões simuladas sob ferramentas oficiais, por exemplo, para trabalhar com as carteiras de hardware seguras KeepKey. Durante a instalação, o usuário foi solicitado a fazer login na conta em um serviço de criptomoeda real. Se a vítima inseriu as credenciais, os atacantes retiraram o dinheiro de sua conta.

Patches de abril. Intel fechavulnerabilidades nos computadores da série NUC (escalonamento de privilégios com acesso local). A Microsoft corrige 113 vulnerabilidades , incluindo quatro ativamente exploradas. A Adobe atualiza o ColdFusion e o AfterEffects .

A Kaspersky Lab publicaRelatório de Evolução de Spam de 2019. 56% das mensagens representam spam no tráfego total de mensagens, um quinto das mensagens indesejadas são enviadas da China. A maioria dos emails de spam é recebida por usuários da Alemanha, Rússia e Vietnã. Uma porcentagem substancial de mensagens de phishing visa roubar contas de bancos, sistemas de pagamento e portais populares de rede. O relatório contém muitos exemplos de fraude envolvendo a disseminação de produtos supostamente gratuitos, acesso a novas séries de programas de TV e enganos da série "pague um dólar para obter dez mil".