EternalRed

EternalRed e SambaCry são as designações infosec dadas à vulnerabilidade CVE-2017-7494 que afeta sistemas baseados em * nix. Mais especificamente, ele esteve presente nas versões do Samba a partir da 3.5.0 lançada em 2010 até as versões 4.6.4/4.5.10/4.4.14 do pacote quando foi corrigido. Embora a vulnerabilidade tenha sido associada ao infame exploit EternalBlue, o EternalRed foi detectado pela primeira vez na cadeia de ataques de hackers que não entregavam ameaças de ransomware como o WannaCry, mas, em vez disso, lançavam um minerador de cripto-moedas.

A vulnerabilidade permitiu que uma carga útil na forma de um plug-in do Samba recebesse super-privilégios. No entanto, os cibercriminosos precisavam adivinhar o caminho completo para a carga descartada, começando pelo diretório raiz. Se forem bem-sucedidos, os hackers passam a emprestar e executar o arquivo como parte do processo do servidor Samba. O arquivo é então excluído, deixando a carga útil operar na memória do sistema comprometido inteiramente. Os pesquisadores observaram as cargas a serem entregues por meio da vulnerabilidade EternalRed.

O primeiro foi denominado INAebsGB.so e carregava um shell reverso que, quando iniciado, dava ao invasor liberdade quase total para executar remotamente qualquer comando shell. Na prática, os hackers podem baixar quaisquer aplicativos adicionais da Internet e executá-los no sistema comprometido ou, se desejarem, podem excluir todos os dados do usuário de forma simples.

A outra carga útil que explorou EternalRed é cblRWuoCc.so. Seu objetivo principal é a entrega do CpuMiner, uma ferramenta de mineração de cripto-moeda de código aberto. A versão específica do cpuminer usada no ataque foi modificada para poder ser executada sem quaisquer parâmetros adicionais. Como resultado, ele entregou todas as moedas cripto-moedas geradas para a carteira dos hackers diretamente. Quanto à moeda específica cblRWuoCc.so, ela foi criada para minerar Monero (XMR). Ao rastrear o endereço da carteira, os pesquisadores de segurança cibernética descobriram que as moedas Monero entregues aumentavam rapidamente. De uma única moeda no primeiro dia da campanha para cerca de cinco nos períodos posteriores. Depois de um mês de atividade de mineração de criptografia, os hackers conseguiram acumular 98 moedas XMR, o que era equivalente a aproximadamente $5.500 na época.

Tendendo

Mais visto

Carregando...