Pod koniec roku 2020 pierwsi badacze donosili o nowym zidentyfikowanym zagrożeniu – malware zwanym Sysrv (nazwa pochodzi od nazwy plików, które tworzy na zaatakowanych systemach). Głównym celem tego wirusa jest kopanie kryptowaluty Monero (XMR) i przesyłanie jej na portfele twórców.

To, co jest w nim niebezpiecznego, to duży potencjał infekcji. Po pierwsze, malware Syssrv targetuje zarówno systemy Windows jak i Linux. Na Linuxie dodatkowo jest w stanie użyć znalezionych kluczy SSH, aby przenieść się na inne systemy – zresztą, może też bruteforce’ować SSH innych komputerów w sieci. O ile na Windowsie (na szczęście) nie mamy do czynienia z tak interesującym mechanizmem przenoszenia się na inne stacje, to dalej zagrożeniem niezależnym od systemu jest drugi moduł – uzbrojony w eksploity. Między innymi, wykorzystuje on takie podatności jak:

  • Mongo Express RCE (CVE-2019-10758)
  • XML-RPC (CVE-2017-11610)
  • Saltstack RCE (CVE-2020-16846)
  • Drupal Ajax RCE (CVE-2018-7600)
  • Laravel (CVE-2021-3129)
  • Oracle Weblogic (CVE-2020-14882)
  • Atlassian Confluence Server (CVE-2019-3396)
  • Apache Solr (CVE-2019-0193)
  • PHPUnit (CVE-2017-9841)
  • Jboss Application Server (CVE-2017-12149)
  • Sonatype Nexus Repository Manager (CVE-2019-7238)

A także podatności nieopatrzone numerami CVE takie jak:

  • ThinkPHP RCE
  • XXL-JOB Unauth RCE
  • Apache Hadoop Unauthenticated Command Execution via YARN ResourceManager
  • Jupyter Notebook Command Execution
  • Tomcat Manager Unauth Upload Command Execution

Ponadto, zawiera także moduły do ataków brute-force (kończących się również wykonaniem kodu w przypadku zgadnięcia poświadczeń) na takie oprogramowanie jak:

  • WordPress
  • Jenkins
  • Tomcat
  • MySQL

Jak widzimy, w tym konkretnym przypadku patchowanie systemów oraz właściwa polityka haseł może nas ochronić przed atakiem tego typu wirusa. A jak sprawdzić, czy przypadkiem nie jesteśmy już ofiarą?

Martwić możemy się, jeżeli znajdziemy któreś z poniższych symptomów na naszych systemach. Może wtedy być wymagane po pierwsze: identyfikacja wszystkichofiar” w naszej sieci, a po drugie, prawdopodobnie nawet reinstalacja systemu, ponieważ wirus dość mocno “okopuje się” na systemach, które zaatakuje. Szczegółowa techniczna analiza dostępna jest w sekcji “źródła“.

  • Połączenia pod adresy sieciowe centrów C2 (command and control)
    • 194.145.227.21
    • 194.40.243.98
    • 31.42.177.123
    • 31.210.20.181
    • 31.210.20.120
    • 185.239.242.71
  • Pliki:
    • ldr.sh
    • ldr.ps1
    • sysrv (ELF binary)
    • sysrv.exe

Kilka dodatkowych symptomów (Indicators of Compromise) znajdziecie tutaj:

https://github.com/lacework/lacework-labs/blob/master/blog/sysrv_hello_iocs.csv

Źródła:

https://www.bleepingcomputer.com/news/security/new-cryptomining-malware-builds-an-army-of-windows-linux-bots/#.YIRQHINqp4Q.twitter

https://www.lacework.com/sysrv-hello-expands-infrastructure/

https://help.aliyun.com/document_detail/196163.html

Obrazek tytułowy: https://www.bleepstatic.com/images/news/u/1109292/2021/Sysrv-attack-flow.png

0 CommentsZamknij komentarze

Skomentuj