EternalRed
EternalRed en SambaCry zijn de infosec-aanduidingen die zijn gegeven aan de CVE-2017-7494-kwetsbaarheid die * nix-gebaseerde systemen treft. Meer specifiek was het aanwezig in de Samba-versies vanaf 3.5.0 uitgebracht in 2010 tot versie 4.6.4 / 4.5.10 / 4.4.14 van het pakket toen het werd gepatcht. Hoewel de kwetsbaarheid verband hield met de beruchte EternalBlue- exploit, werd EternalRed voor het eerst gedetecteerd in de aanvalsketen van hackers die geen ransomwarebedreigingen afleverden , zoals WannaCry, maar in plaats daarvan een cryptocurrency-mijnwerker lieten vallen.
Door de kwetsbaarheid kon een payload in de vorm van een Samba-plug-in superprivileges krijgen. De cybercriminelen moesten echter het volledige pad naar de verwijderde payload raden, te beginnen bij de hoofdmap. Als dit lukt, gaan de hackers het bestand uitlenen en uitvoeren als onderdeel van het Samba-serverproces. Het bestand wordt vervolgens verwijderd, waardoor de payload volledig in het geheugen van het gecompromitteerde systeem blijft werken. De onderzoekers observeerden dat ladingen werden afgeleverd via de EternalRed-kwetsbaarheid.
De eerste heette INAebsGB.so en droeg een reverse-shell die, wanneer geïnitieerd, de aanvaller bijna volledige vrijheid gaf om op afstand shell-commando's uit te voeren. In de praktijk zouden de hackers alle aanvullende applicaties van internet kunnen downloaden en deze op het gecompromitteerde systeem kunnen draaien, of, als ze dat zouden willen, alle gebruikersgegevens eenvoudig kunnen verwijderen.
De andere payload die EternalRed uitbuitte, is cblRWuoCc.so. Het belangrijkste doel is de levering van CpuMiner , een open-source cryptocurrency mining-tool. De specifieke cpuminer-versie die bij de aanval werd gebruikt, werd aangepast om zonder aanvullende parameters te kunnen werken. Als gevolg hiervan leverde het alle gegenereerde cryptocurrency-munten rechtstreeks aan de portemonnee van de hackers. Wat betreft de specifieke valuta cblRWuoCc.so, deze is gemaakt om Monero (XMR) te minen. Door het portefeuilleadres bij te houden, ontdekten de cybersecurity-onderzoekers dat de Monero-munten die eraan werden geleverd snel toenamen. Van een enkele munt op de eerste dag van de campagne tot ongeveer vijf tijdens de latere periodes. Na een maand van cryptomining waren de hackers erin geslaagd 98 XMR-munten te vergaren, wat op dat moment gelijk was aan ongeveer $ 5500.
