EternalRed

EternalRed e SambaCry sono le designazioni infosec date alla vulnerabilità CVE-2017-7494 che colpisce i sistemi basati su * nix. Nello specifico era presente nelle versioni di Samba a partire dalla 3.5.0 rilasciata nel 2010 fino alle versioni 4.6.4 / 4.5.10 / 4.4.14 del pacchetto quando è stata patchata. Sebbene la vulnerabilità fosse associata al famigerato exploit EternalBlue , EternalRed è stato rilevato per la prima volta nella catena di attacchi di hacker che non distribuivano minacce ransomware come WannaCry ma invece lanciavano un minatore di criptovaluta.

La vulnerabilità consentiva a un payload sotto forma di plug-in Samba di ricevere superprivilegi. Tuttavia, i criminali informatici hanno dovuto indovinare il percorso completo del payload abbandonato, a partire dalla directory principale. In caso di successo, gli hacker procedono quindi a prestare ed eseguire il file come parte del processo del server Samba. Il file viene quindi eliminato, lasciando che il payload funzioni interamente nella memoria del sistema compromesso. I ricercatori hanno osservato che i carichi utili venivano consegnati attraverso la vulnerabilità EternalRed.

Il primo si chiamava INAebsGB.so e conteneva una shell inversa che, una volta avviata, dava all'aggressore la quasi piena libertà di eseguire in remoto qualsiasi comando di shell. In pratica, gli hacker potrebbero scaricare tutte le applicazioni aggiuntive da Internet ed eseguirle sul sistema compromesso o, se lo desiderano, possono semplicemente eliminare tutti i dati dell'utente.

L'altro payload che ha sfruttato EternalRed è cblRWuoCc.so. Il suo scopo principale è la fornitura di CpuMiner , uno strumento di mining di criptovaluta open source. La particolare versione del cpuminer utilizzata nell'attacco è stata modificata per poter funzionare senza parametri aggiuntivi. Di conseguenza, ha consegnato direttamente tutte le monete di criptovaluta generate al portafoglio degli hacker. Per quanto riguarda la valuta specifica cblRWuoCc.so, è stata creata per estrarre Monero (XMR). Tracciando l'indirizzo del portafoglio, i ricercatori della sicurezza informatica hanno scoperto che le monete Monero che gli venivano consegnate aumentavano a un ritmo rapido. Da una singola moneta il primo giorno della campagna a circa cinque durante i periodi successivi. Dopo un mese di attività di cripto-mining, gli hacker erano riusciti ad accumulare 98 monete XMR, che all'epoca erano pari a circa $ 5500.

Tendenza

I più visti

Caricamento in corso...