Sysrv-hello Botnet

Sysrv-hello Botnet एक हाल ही में खोजा गया बोटनेट है जो अपने क्रिप्टो-माइनिंग स्लेव मशीनों में जोड़ने के लिए कमजोर लिनक्स और विंडोज एंटरप्राइज सर्वर की तलाश में है। खतरे के शिकार लोगों में जीरा, ओरेकल वेबलॉजिक, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype और Apache Struts हैं। अधिकांश क्रिप्टो-माइनिंग बोटनेट के रूप में, Sysrv-hello भी XMRig माइनर के एक संस्करण को दर्शाती है जो कि मोनरो सिक्के उत्पन्न करने के लिए संक्रमित सिस्टम के हार्डवेयर संसाधनों को अपहृत करता है।

अपेक्षाकृत नए खतरे के बावजूद, Sysrv-hello botnet ने पहले ही कई महत्वपूर्ण अपडेट और संशोधन देखे हैं। प्रारंभ में, खतरे में अलग-अलग खनन और प्रसार (कृमि) घटकों के साथ एक मॉड्यूलर प्रकृति थी। हालाँकि, नवीनतम नमूनों में एक एकल बाइनरी होता है जो दोनों कार्यक्षमताओं को करने में सक्षम होता है।

प्रारंभिक समझौता क्षेत्र

खुद को फैलाने के लिए Sysrv-hello द्वारा शोषित कमजोरियों को भी अपग्रेड किया गया है। खतरे के नवीनतम संस्करण लक्षित प्रणालियों तक प्रारंभिक पहुँच प्राप्त करने के लिए छह विशेष भेद्यताओं पर भरोसा करते हैं:

• मानगो एक्सप्रेस आरसीई (CVE-2019-10758)
• XML-RPC (CVE-2017-11610)
• साल्टस्टैक आरसीई (CVE-2020-16846)
• Drupal Ajax RCE (CVE-2018-7600)
• ThinkPHP RCE (कोई CVE)
• XXL-JOB Unauth RCE (कोई CVE)

सर्वर पर एक पैर जमाने के बाद, Sysrv-hello किसी भी प्रतिस्पर्धी क्रिप्टो-माइनर्स को मारता है यदि ऐसा मौजूद है, तो अपने खुद के माइनर को शुरू करता है, और समझौता नेटवर्क पर फैलने के लिए आगे बढ़ता है। बाद में स्थानांतरित करने के लिए, बोटनेट संक्रमित सर्वर से निजी एसएसएच कुंजी एकत्र करता है और उनका उपयोग ब्रूट-फोर्स हमलों को लॉन्च करने के लिए करता है।

Infosec शोधकर्ताओं ने क्रिप्टो-वॉलेट में से एक की पहचान करने में कामयाब रहे, जो कि Sysrv-hello botnet द्वारा उत्पन्न Monero के सिक्कों को रखने के लिए इस्तेमाल किया। हालांकि वहां संग्रहीत राशि प्रभावशाली नहीं है - 12 से अधिक एक्सएमआर (मोनेरो), या $ 4000 के आसपास, यह ध्यान दिया जाना चाहिए कि क्रिप्टो-माइनिंग बोटनेट आमतौर पर कई ऐसे वॉलेट्स को नियोजित करते हैं ताकि हैकर्स का कुल लाभ काफी अधिक हो सके।