EternalRed

EternalRed a SambaCry jsou označení infosec daná chybě zabezpečení CVE-2017-7494, která ovlivňuje systémy * nix. Přesněji řečeno, byl přítomen ve verzích Samba od verze 3.5.0 vydané v roce 2010 až po verze 4.6.4 / 4.5.10 / 4.4.14 balíčku, když byl opraven. Ačkoli byla chyba zabezpečení spojena s nechvalně známým zneužitím EternalBlue , EternalRed byl poprvé detekován v řetězci útoků hackerů, kteří nedodávali ransomwarové hrozby, jako je WannaCry, ale místo toho upustili od těžby kryptoměny.

Tato chyba zabezpečení umožnila užitečnému obsahu ve formě zásuvného modulu Samba přijímat super privilegia. Kyberzločinci však museli uhodnout úplnou cestu ke sníženému užitečnému obsahu, počínaje kořenovým adresářem. Pokud budou úspěšní, hackeři poté půjčí a provedou soubor jako součást procesu serveru Samba. Soubor je poté odstraněn, takže užitečné zatížení bude zcela fungovat v paměti ohroženého systému. Vědci zjistili, že užitečná zatížení mají být doručena prostřednictvím chyby zabezpečení EternalRed.

První z nich byl pojmenován INAebsGB.so a nesl reverzní shell, který, když byl spuštěn, poskytl útočníkovi téměř úplnou svobodu dálkově provádět jakékoli příkazy shellu. V praxi si hackeři mohli stáhnout jakékoli další aplikace z Internetu a spustit je na napadeném systému, nebo, pokud si to přáli, mohli jednoduše smazat všechna data uživatele.

Další užitečné zatížení, které využilo EternalRed, je cblRWuoCc.so. Jeho hlavním účelem je dodávka CpuMiner , nástroje pro těžbu kryptoměn s otevřeným zdrojovým kódem. Konkrétní verze cpumineru použitá při útoku byla upravena tak, aby mohla běžet bez dalších parametrů. Ve výsledku doručil všechny vygenerované kryptoměnové mince přímo do peněženky hackerů. Pokud jde o konkrétní měnu cblRWuoCc.so, byla vytvořena pro těžbu Monero (XMR). Sledováním adresy peněženky vědci v oblasti kybernetické bezpečnosti zjistili, že mince Monero, které jí byly doručeny, rychle rostly. Od jedné mince v první den kampaně po přibližně pět během pozdějších období. Po měsíci aktivity v oblasti krypto těžby se hackerům podařilo nashromáždit 98 mincí XMR, což se v té době rovnalo přibližně 5500 USD.