EternalRed

EternalRed Opis

EternalRed i SambaCry oznake su infosec dane ranjivosti CVE-2017-7494 koja utječe na sustave temeljene na * nixu. Točnije, bio je prisutan u verzijama Samba počevši od 3.5.0 objavljenog 2010. godine do verzija 4.6.4 / 4.5.10 / 4.4.14 paketa kada je zakrpan. Iako je ranjivost povezana s zloglasnim eksploatacijom EternalBlue, EternalRed je prvi put otkriven u lancu napada hakera koji nisu isporučivali prijetnje ransomwareom poput WannaCryja, već su ispuštali rudar kriptovaluta.

Ranjivost je omogućila korisni teret u obliku Samba dodatka za primanje super privilegija. Međutim, internetski kriminalci morali su pogoditi puni put do ispuštenog tereta, počevši od korijenskog direktorija. Ako uspiju, hakeri potom pozajmljuju i izvršavaju datoteku kao dio procesa Samba-poslužitelja. Datoteka se zatim briše, ostavljajući korisni teret da u potpunosti radi u memoriji ugroženog sustava. Istraživači su primijetili da se teret tereta isporučuje putem ranjivosti EternalRed.

Prvi se zvao INAebsGB.so i nosio je obrnutu ljusku koja je, kada je pokrenuta, napadaču dala gotovo punu slobodu da izvršava bilo koje naredbe ljuske na daljinu. U praksi su hakeri mogli s Interneta preuzeti sve dodatne programe i pokrenuti ih na ugroženom sustavu ili, ako su to željeli, jednostavno izbrisati sve korisničke podatke.

Drugi korisni teret koji je iskoristio EternalRed je cblRWuoCc.so. Njegova je glavna svrha isporuka CpuMiner-a , alata za rudarenje kripto valuta otvorenog koda. Određena cpuminer verzija korištena u napadu izmijenjena je kako bi se mogla izvoditi bez ikakvih dodatnih parametara. Kao rezultat toga, isporučio je sve generirane kovanice kriptovaluta izravno u novčanik hakera. Što se tiče određene valute cblRWuoCc.so, ona je stvorena za kopanje Monera (XMR). Prateći adresu novčanika, istraživači kibernetičke sigurnosti otkrili su da su mu se kovanice Monero koje se dostavljaju povećavale brzinom. Od jednog novčića prvog dana kampanje do oko pet tijekom kasnijih razdoblja. Nakon mjesec dana aktivnosti kripto-rudarstva, hakeri su uspjeli prikupiti 98 XMR kovanica, što je bilo približno 5500 američkih dolara u to vrijeme.