EternalRed

EternalRed i SambaCry to oznaczenia infosec nadawane luce CVE-2017-7494, która dotyczy systemów opartych na * nix. Mówiąc dokładniej, był obecny w wersjach Samby począwszy od 3.5.0 wydanej w 2010 roku do wersji 4.6.4 / 4.5.10 / 4.4.14 pakietu, kiedy został poprawiony. Chociaż luka była powiązana z niesławnym exploitem EternalBlue, EternalRed został po raz pierwszy wykryty w łańcuchu ataków hakerów, którzy nie dostarczali zagrożeń ransomware, takich jak WannaCry, ale zamiast tego upuszczali koparkę kryptowalut .

Luka ta pozwoliła ładunkowi w postaci wtyczki Samby na uzyskanie nadrzędnych uprawnień. Jednak cyberprzestępcy musieli odgadnąć pełną ścieżkę do porzuconego ładunku, zaczynając od katalogu głównego. Jeśli się powiedzie, hakerzy pożyczają i uruchamiają plik w ramach procesu serwera Samba. Plik jest następnie usuwany, pozostawiając ładunek do działania w całości w pamięci systemu, którego zabezpieczenia zostały naruszone. Naukowcy zaobserwowali, że ładunki są dostarczane przez lukę EternalRed.

Pierwsza z nich nosiła nazwę INAebsGB.so i zawierała odwrotną powłokę, która po zainicjowaniu dawała atakującemu prawie pełną swobodę zdalnego wykonywania wszelkich poleceń powłoki. W praktyce hakerzy mogli pobrać dowolne dodatkowe aplikacje z Internetu i uruchomić je w zaatakowanym systemie lub, jeśli sobie tego życzą, po prostu usunąć wszystkie dane użytkownika.

Innym ładunkiem, który wykorzystał EternalRed, jest cblRWuoCc.so. Jego głównym celem jest dostarczenie CpuMiner , narzędzia do wydobywania kryptowalut o otwartym kodzie źródłowym. Konkretna wersja cpuminera użyta w ataku została zmodyfikowana tak, aby mogła działać bez dodatkowych parametrów. W rezultacie dostarczał wszystkie wygenerowane kryptowaluty bezpośrednio do portfela hakerów. Jeśli chodzi o konkretną walutę cblRWuoCc.so, została ona stworzona do wydobywania Monero (XMR). Śledząc adres portfela, badacze cyberbezpieczeństwa odkryli, że dostarczone do niego monety Monero rosły w szybkim tempie. Od jednej monety pierwszego dnia kampanii do około pięciu w późniejszych okresach. Po miesiącu działalności związanej z kopaniem kryptowalut hakerom udało się zgromadzić 98 monet XMR, co stanowiło wówczas około 5500 USD.