EternalRed

EternalRed og SambaCry er de infosec-betegnelser, der gives til CVE-2017-7494-sårbarheden, der påvirker * nix-baserede systemer. Mere specifikt var det til stede i Samba-versionerne startende fra 3.5.0 udgivet i 2010 op til version 4.6.4 / 4.5.10 / 4.4.14 af pakken, da den blev patched. Selvom sårbarheden var forbundet med den berygtede EternalBlue- udnyttelse, blev EternalRed først opdaget i angrebskæden af hackere, der ikke leverede ransomware-trusler som WannaCry, men i stedet droppede en kryptovaluta-minearbejder.

Sårbarheden tillod en nyttelast i form af et Samba-plug-in for at modtage superprivilegier. Imidlertid måtte cyberkriminelle gætte den fulde vej til den faldne nyttelast, startende fra rodmappen. Hvis det lykkes, fortsætter hackerne med at låne og udføre filen som en del af Samba-serverprocessen. Filen slettes derefter, hvorved nyttelasten forbliver helt i det kompromitterede systems hukommelse. Forskerne observerede, at nyttelast skal leveres gennem EternalRed-sårbarheden.

Den første blev opkaldt INAebsGB.so og bar en omvendt shell, der, når den blev initieret, gav angriberen næsten fuld frihed til at udføre fjernbetjening af eventuelle shell-kommandoer. I praksis kunne hackerne downloade eventuelle yderligere applikationer fra Internettet og køre dem på det kompromitterede system, eller hvis de ønsker det, kunne de blot slette alle brugerens data.

Den anden nyttelast, der udnyttede EternalRed, er cblRWuoCc.so. Dens hovedformål er levering af CpuMiner , et open source- kryptovaluta-mineværktøj . Den særlige cpuminer-version, der blev brugt i angrebet, blev ændret for at kunne køre uden yderligere parametre. Som et resultat leverede det alle de genererede kryptokurrencymønter direkte til hackernes tegnebog. Hvad angår den specifikke valuta cblRWuoCc.so, blev den oprettet for at udvinde Monero (XMR). Ved at spore tegnebogadressen opdagede cybersikkerhedsforskerne, at de Monero-mønter, der blev leveret til den, steg hurtigt. Fra en enkelt mønt på kampagnens første dag til omkring fem i de senere perioder. Efter en måned med krypto-minedrift havde hackerne formået at samle 98 XMR-mønter, hvilket svarede til ca. $ 5500 på det tidspunkt.