SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Свежий штамм Satan использует несколько эксплойтов для атаки

12 декабря 2018 г., среда, 11:25

Зловред Lucky шифрует документы и базы данных, а также устанавливает на устройство майнер.

Новый вариант шифровальщика Satan, обнаруженный специалистами из NSFocus и Sangfor, атакует серверы под управлением Windows и Linux, используя уязвимости в Apache Struts 2, WebLogic, Tomcat и других платформах. Зловред распространяется как червь, и не только кодирует пользовательские файлы, но и устанавливает на инфицированную машину майнер. Исследователи отмечают высокий потенциал штамма, однако указывают на ошибки в криптоалгоритме, которые можно использовать для восстановления данных.

По словам аналитиков, вредоносный комплект состоит из нескольких модулей, один из которых отвечает за заражение целевой системы и загрузку остальных компонентов. Оказавшись на устройстве, скрипт связывается с командным сервером, а в случае нападения на Linux-сервер еще и прописывается в автозагрузке.

Дроппер получает из центра управления криптографический модуль, а также скрипт, сканирующий TCP-соединения зараженной машины в поиске открытых портов других устройств. Lucky шифрует пользовательские документы, таблицы и базы данных, оставляя в неприкосновенности системные объекты, отвечающие за работу ОС.

Как пояснили специалисты, зловред использует алгоритм AES в режиме Electronic Codebook (ECB) для поблочного кодирования каждого файла. Программа переименовывает зашифрованные объекты и добавляет к их названию расширение .lucky.

По мнению экспертов NSFocus, из-за неэффективной работы с памятью вредоносный скрипт не может окончательно удалить секретный ключ с диска после окончания работы. Этот баг в ряде случаев позволяет восстановить поврежденные данные, особенно на серверах под управлением Windows. В качестве второго объекта полезной нагрузки выступает майнер XMRig, доступный для скачивания на GitHub.

Параллельно с установкой майнера и шифрованием пользовательских данных  Lucky атакует серверы, работающие под управлением Windows SMB, эксплуатируя брешь Eternal Blue, многократно описанную ИБ-специалистами и закрытую Microsoft еще в марте 2017 года. Для внедрения на другие серверы зловред использует ряд уязвимостей:

  • Давний баг платформы JBoss, замеченный в атаке вымогателя SamSam в 2016 году.
  • Ошибку CVE-2018-1273 в плагине Spring Data компании Pivotal, которая допускает удаленное выполнение кода.
  • Эксплойт для Oracle WebLogic, применявшийся для засева майнеров.
  • Несколько брешей в сервере Apache Struts 2, ставших причиной многочисленных утечек персональных данных.

В некоторых случаях для взлома целевых систем Lucky применяет брутфорс-атаку, перебирая распространенные варианты логинов и паролей. По словам специалистов, индикатором атаки может служить сетевой трафик, четырем IP командных серверов, с которыми связывается вредоносная программа:

  • 90.158.225
  • 179.65.195
  • 247.83.135
  • 90.158.224

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.072
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.