Множество мнения на специалисти по информационна сигурност споделят наблюдението си, че киберпрестъпниците заменят разпространението на рансъмуер заплахи с доставянето на копачи на криптовалути, както и компрометирането на сайтове с цел използването на системите на посетителите им за добив на цифрови монети. По данни на компанията за интернет сигурност Imperva, близо 90% от атаките, свързани с отдалеченото изпълнение на код към уеб приложения са именно с тази цел. Наскоро обаче компанията се натъква на изцяло нов тип обект на атака – ДБ и апликационните сървъри.

RedisWannaMine, както са кръстили кампанията Imperva, включва експлойти на Агенцията за национална сигурност на САЩ (АНС) и инструмента за съхранение на данни Redis. RedisWannaMine е сложна по природа атака, използваща умели техники за прикриване, притежаваща способността да се репликира, а с това да увеличи сериозно своя мащаб.

Авторите на атаката търсят уязвими машини на експлойт за вече запушена дупка в Apache Struts(CVE-2017-9805), след което изпълняват скрипт на компрометираната машина, за да свалят допълнителен код в това число и миньора за криптовалута, но също така и стандартни пакети, като git, python, redis-tools, wget, gcc и make, за да са сигурни, че следващия етап в атаката им няма да срещне пречки. Заедно с това, бива свалян и инструмент (masscan) от GitHub, с който сканират за наличието на уязвими Redis сървъри, а с това стартират и друг скрипт, който сканира на порт 445 за уязвими Windows машини на SMB дупката, която експлойтите на АНС експлоатират (и която беше запушена преди година) – същата, която беше използвана за разпространението и на WannaCry.

Imperva дават данни за индикаторите, по които може да разберете дали машината ви е била подложена на подобна атака и съветват да не излагате Redis сървъра си на Интернет. „Уверете се, че няма във вашата организация машини, които използват уязвими версии на SMB протокола. Защитавайте вашите бази данни и уеб приложения. Първоначалният вектор на атака е уязвимост в уеб приложение. Надлежно наложени обновления на приложенията или приложения, защитени с апликационна защитна стена, би трябвало да са в безопасност“, пише компанията.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за