EternalRed

EternalRed ja SambaCry ovat CVE-2017-7494-haavoittuvuudelle annettuja infosec-nimityksiä, jotka vaikuttavat * nix-pohjaisiin järjestelmiin. Tarkemmin sanottuna se oli läsnä Samba-versioissa vuodesta 2010 julkaistusta 3.5.0: sta paketin korjaustiedostoihin versioon 4.6.4 / 4.5.10 / 4.4.14. Vaikka haavoittuvuus liittyi surulliseen EternalBlue- hyväksikäyttöön, EternalRed havaittiin ensin hakkereiden hyökkäysketjussa, jotka eivät toimittaneet ransomware- uhkia, kuten WannaCry, mutta pudottivat sen sijaan kryptovaluuttakaivurin .

Haavoittuvuuden ansiosta hyötykuorma Samba-laajennuksen muodossa sai superoikeudet. Verkkorikollisten oli kuitenkin arvattava koko polku pudotettuun hyötykuormaan juurihakemistosta alkaen. Jos hakkerit onnistuvat, hakkerit jatkavat lainaa ja suorittavat tiedoston osana Samba-palvelinprosessia. Sitten tiedosto poistetaan, jolloin hyötykuorma toimii kokonaan vaarantuneen järjestelmän muistissa. Tutkijat havaitsivat hyötykuormat toimitettaviksi EternalRed-haavoittuvuuden kautta.

Ensimmäisen nimi oli INAebsGB.so ja siinä oli käänteinen kuori, joka aloitettuaan antoi hyökkääjälle melkein vapauden suorittaa kaikki komentot. Hakkerit voivat käytännössä ladata kaikki lisäsovellukset Internetistä ja suorittaa ne vaarantuneessa järjestelmässä, tai haluttaessa poistaa kaikki käyttäjän tiedot yksinkertaisesti.

Toinen hyötykuorma, joka hyödynsi EternalRediä, on cblRWuoCc.so. Sen päätarkoitus on avoimen lähdekoodin kryptovaluutan louhintatyökalun CpuMiner toimitus . Erityistä hyökkäyksessä käytettyä cpuminer-versiota muokattiin voidakseen toimia ilman muita parametreja. Tämän seurauksena se toimitti kaikki syntyvät kryptovaluutta-kolikot hakkereiden lompakkoon. Mitä tulee tiettyyn valuutaan cblRWuoCc.so, se luotiin kaivamaan Monero (XMR). Seuraamalla lompakon osoitetta kyberturvallisuuden tutkijat havaitsivat, että sille toimitetut Monero-kolikot kasvoivat nopeasti. Yhdestä kolikosta kampanjan ensimmäisenä päivänä noin viiteen myöhempinä aikoina. Kuukauden salauskaivostoiminnan jälkeen hakkerit olivat onnistuneet keräämään 98 XMR-kolikkoa, mikä oli noin 5500 dollaria tuolloin.