HeadCrab ਮਾਲਵੇਅਰ
ਹੈੱਡਕ੍ਰੈਬ ਨਾਮਕ ਇੱਕ ਨਵਾਂ, ਬਹੁਤ ਹੀ ਚੋਰੀਸ਼ੁਦਾ ਮਾਲਵੇਅਰ ਰੈਡਿਸ ਸਰਵਰਾਂ ਨੂੰ ਔਨਲਾਈਨ ਸੰਕਰਮਿਤ ਕਰ ਰਿਹਾ ਹੈ ਅਤੇ ਮੋਨੇਰੋ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਨੂੰ ਮਾਈਨ ਕਰਨ ਲਈ ਇੱਕ ਬੋਟਨੈੱਟ ਬਣਾ ਰਿਹਾ ਹੈ। Th HeadCrabe ਮਾਲਵੇਅਰ 1,200 ਤੋਂ ਵੱਧ Redis ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵਿੱਚ ਸਫਲ ਰਿਹਾ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ ਇਹ ਹੋਰ ਟੀਚਿਆਂ ਦੀ ਖੋਜ ਕਰਨ ਲਈ ਕਰਦਾ ਹੈ। HeadCrab ਦੇ ਪਿੱਛੇ ਸੂਝਵਾਨ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੇ ਕਸਟਮ-ਬਣਾਇਆ ਮਾਲਵੇਅਰ ਵਿਕਸਤ ਕੀਤਾ ਹੈ ਜੋ ਬਹੁਤ ਹੀ ਉੱਨਤ ਹੈ ਅਤੇ ਰਵਾਇਤੀ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਹੱਲਾਂ ਜਾਂ ਏਜੰਟ ਰਹਿਤ ਪ੍ਰਣਾਲੀਆਂ ਦੁਆਰਾ ਆਸਾਨੀ ਨਾਲ ਖੋਜਿਆ ਨਹੀਂ ਜਾਂਦਾ ਹੈ। Infosec ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ HeadCrab ਮਾਲਵੇਅਰ ਅਤੇ ਧਮਕੀ ਭਰੇ ਕਾਰਜਾਂ ਬਾਰੇ ਵੇਰਵੇ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।
ਹੈੱਡਕ੍ਰੈਬ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ
ਇਸ ਬੋਟਨੈੱਟ ਦੇ ਪਿੱਛੇ ਹਮਲਾਵਰ Redis ਸਰਵਰਾਂ ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਇੱਕ ਸੰਗਠਨ ਦੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਅੰਦਰੂਨੀ ਵਰਤੋਂ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਮੂਲ ਰੂਪ ਵਿੱਚ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਘਾਟ ਹੈ। ਜੇਕਰ ਪ੍ਰਸ਼ਾਸਕ ਆਪਣੇ ਸਰਵਰਾਂ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਇੰਟਰਨੈਟ ਤੋਂ ਪਹੁੰਚਯੋਗ ਬਣਾਉਣ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੇ ਹਨ, ਜਾਂ ਤਾਂ ਗਲਤੀ ਨਾਲ ਜਾਂ ਜਾਣਬੁੱਝ ਕੇ, ਹਮਲਾਵਰ ਧਮਕਾਉਣ ਵਾਲੇ ਸਾਧਨਾਂ ਜਾਂ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਸਾਨੀ ਨਾਲ ਕੰਟਰੋਲ ਹਾਸਲ ਕਰ ਸਕਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਉਹਨਾਂ ਕੋਲ ਇਹਨਾਂ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਸਰਵਰਾਂ ਤੱਕ ਪਹੁੰਚ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਹਮਲਾਵਰ ਉਹਨਾਂ ਦੇ ਨਿਯੰਤਰਣ ਵਿੱਚ ਇੱਕ ਮਾਸਟਰ ਸਰਵਰ ਨਾਲ ਸਰਵਰ ਨੂੰ ਸਮਕਾਲੀ ਕਰਨ ਲਈ ਇੱਕ "SLAVEOF" ਕਮਾਂਡ ਜਾਰੀ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਨਵੇਂ ਹਾਈਜੈਕ ਕੀਤੇ ਸਿਸਟਮ ਉੱਤੇ HeadCrab ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।
HeadCrab ਮਾਲਵੇਅਰ ਦੀ ਹਾਨੀਕਾਰਕ ਸਮਰੱਥਾਵਾਂ
ਇੱਕ ਵਾਰ ਸਥਾਪਿਤ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਹੈੱਡਕ੍ਰੈਬ ਹਮਲਾਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਸਰਵਰ ਨੂੰ ਆਪਣੇ ਕਬਜ਼ੇ ਵਿੱਚ ਲੈਣ ਅਤੇ ਇਸਨੂੰ ਆਪਣੇ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਿੰਗ ਬੋਟਨੈੱਟ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਲੋੜੀਂਦੀਆਂ ਯੋਗਤਾਵਾਂ ਦੀ ਪੂਰੀ ਸ਼੍ਰੇਣੀ ਦਿੰਦਾ ਹੈ। ਇਹ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਸਕੈਨ ਨੂੰ ਚਕਮਾ ਦੇਣ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਦੀ ਯਾਦ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ। HeadCrab ਮਾਲਵੇਅਰ ਸਾਰੇ ਲੌਗਸ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ ਅਤੇ ਸਿਰਫ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇਸਦੇ ਆਪਰੇਟਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਦੂਜੇ ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।
ਹਮਲਾਵਰ ਪ੍ਰਮਾਣਿਕ IP ਪਤਿਆਂ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਦੇ ਦੂਜੇ ਦੂਸ਼ਿਤ ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਦੇ ਹਨ, ਤਾਂ ਜੋ ਖੋਜ ਤੋਂ ਬਚਿਆ ਜਾ ਸਕੇ ਅਤੇ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਦੁਆਰਾ ਬਲੌਕ ਕੀਤੇ ਜਾਣ ਦੇ ਜੋਖਮ ਨੂੰ ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਸ ਤੋਂ ਇਲਾਵਾ, HeadCrab ਮਾਲਵੇਅਰ ਜ਼ਿਆਦਾਤਰ Redis ਪ੍ਰਕਿਰਿਆਵਾਂ 'ਤੇ ਆਧਾਰਿਤ ਹੈ। ਇਹਨਾਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਧਮਕਾਉਣ ਵਾਲੇ ਜਾਂ ਸ਼ੱਕੀ ਸਮਝੇ ਜਾਣ ਦੀ ਸੰਭਾਵਨਾ ਨਹੀਂ ਹੈ। ਪੇਲੋਡ 'memfd,' ਮੈਮੋਰੀ-ਸਿਰਫ਼ ਫਾਈਲਾਂ ਰਾਹੀਂ ਲੋਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜਦੋਂ ਕਿ ਕਰਨਲ ਮੋਡੀਊਲ ਡਿਸਕ ਰਾਈਟਸ ਤੋਂ ਬਚਣ ਦੇ ਤਰੀਕੇ ਵਜੋਂ ਮੈਮੋਰੀ ਤੋਂ ਸਿੱਧੇ ਲੋਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
ਹੈੱਡਕ੍ਰੈਬ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜੇ ਮੋਨੇਰੋ ਕ੍ਰਿਪਟੋ-ਵਾਲਿਟ ਐਡਰੈੱਸ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਪ੍ਰਤੀ ਕਰਮਚਾਰੀ $4,500 ਦਾ ਅੰਦਾਜ਼ਨ ਸਾਲਾਨਾ ਮੁਨਾਫ਼ਾ ਕਮਾ ਰਹੇ ਹਨ। ਜੇਕਰ ਅਨੁਮਾਨ ਸਹੀ ਹਨ, ਤਾਂ ਇਹ ਇਹਨਾਂ ਓਪਰੇਸ਼ਨਾਂ ਦੀਆਂ ਹੋਰ ਕਿਸਮਾਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਪ੍ਰਤੀ ਕਰਮਚਾਰੀ $200 ਦੇ ਮੁਕਾਬਲੇ ਇੱਕ ਭਾਰੀ ਵਾਧਾ ਦਰਸਾਉਂਦਾ ਹੈ।
