Sysrv-hello Botnet

Sysrv-hej Botnet er et nyligt opdaget botnet, der er på udkig efter sårbare Linux- og Windows-enterprise-servere, der skal tilføjes til sine kryptomining-slave-maskiner. Blandt ofrene for truslen er Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype og Apache Struts. Som de fleste af krypto-minedrift botnets implementerer Sysrv-hello også en version af XMRig minearbejder, der kaprer hardwarressourcerne i det inficerede system for at generere Monero mønter.

På trods af at det er en relativt ny trussel, har Sysrv-hello botnet allerede set flere vigtige opdateringer og ændringer. Oprindeligt havde truslen en modulær karakter med separate minedrift og formeringskomponenter (orme). De seneste prøver indeholder dog en enkelt binær, der er i stand til at udføre begge funktioner.

Indledende kompromisvektorer

Sårbarhederne, der udnyttes af Sysrv-hej til at sprede sig, er også blevet opgraderet. De nyeste varianter af truslen er afhængige af seks særlige sårbarheder for at få indledende adgang til de målrettede systemer:

• Mongo Express RCE (CVE-2019-10758)
• XML-RPC (CVE-2017-11610)
• Saltstack RCE (CVE-2020-16846)
• Drupal Ajax RCE (CVE-2018-7600)
• ThinkPHP RCE (ingen CVE)
• XXL-JOB Unauth RCE (ingen CVE)

Efter at have fået fodfæste på serveren, dræber Sysrv-hej enhver konkurrerende krypto-minearbejder, hvis sådan er til stede, initierer sin egen minearbejder og fortsætter med at sprede sig over det kompromitterede netværk. For at bevæge sig sideværts indsamler botnet private SSH-nøgler fra de inficerede servere og bruger dem til at starte brute-force angreb.

Infosec-forskere formåede at identificere en af de kryptobøger, der blev brugt til at indeholde Monero-mønter genereret af Sysrv-hello botnet. Selvom den lagrede sum ikke er så imponerende - lidt over 12 XMR (Monero) eller omkring $ 4000, skal det bemærkes, at krypto-minedrift botnets normalt anvender flere sådanne tegnebøger, så hackernes samlede gevinst kunne være højere markant.