CryptoSink
Noong 2019 natuklasan ng mga mananaliksik ng malware ang isang ipinagbabawal na kampanya sa pagmimina ng cryptocurrency na nagngangalang CryptoSink. Ang mga umaatake ay lilitaw upang samantalahin ang isang kilalang kahinaan upang ikompromiso ang mga naka-target na system. Ang pagsasamantala na ginamit sa operasyon ng CryptoSink ay tinatawag na 'CVE-2014-3120,' at nauugnay ito sa isang mas lumang bersyon ng application ng Elasticsearch. Ang programa na pinag-uusapan ay katugma sa mga sistemang Windows at Linux. Dahil sa katotohanang ito, ang mga operator ng kampanyang CryptoSink ay gumawa ng kanilang pagbabanta na katugma sa parehong mga operating system.
Pagkuha ng Tiyaga
Upang ikompromiso ang naka-target na system, ang banta ng CryptoSink ay mag-iikot ng isang binagong variant ng nakamamatay na minero na XMRig . Depende sa kung ang banta ay na-deploy sa isang Windows o isang sistema ng Linux, makakakuha ito ng pagtitiyaga sa host nang iba. Upang makakuha ng pagpupursige sa isang computer ng Windows, ang banta ng CryptoSink ay gagamit ng maraming pangunahing trick. Gayunpaman, kapag ang pagbabanta ng CryptoSink ay nakompromiso ang isang sistema ng Linux, kakailanganin nitong magamit ang mas kumplikadong mga pamamaraan upang makakuha ng pagtitiyaga. Sa sandaling namamahala ang malware ng CryptoSink na mahawahan ang isang sistema ng Linux, kukuha ito ng maraming mga sira na kargamento na makakatulong sa mga umaatake na makakuha ng pag-access sa backdoor sa makina. Ang banta sa CryptoSink ay iniulat din upang baguhin ang utos ng 'rm', na nangangahulugang sa bawat oras na ang utos na ito, partikular, ay ginagamit, ang CryptoSink malware ay isinasagawa. Sa ganitong paraan, kahit na tinatanggal ng gumagamit ang mga file na naka-link sa aktibidad ng CryptoSink malware, sa sandaling magamit nila ang utos na 'rm', ang pagbabanta ay magiging redeployed.
Pag-alis ng Mga Kakumpitensya
Ang minero ay dinisenyo upang minahan para sa Monero cryptocurrency. Ang banta ng CryptoSink ay may kakayahang makita din kung mayroong isa pang cryptocurrency miner na naroroon sa nahawaang computer. Kung mayroong napansin na mga nakikipagkumpitensya na mga minero, ang banta ng CryptoSink ay susubukan na ihinto ang kanilang mga aktibidad. Gayunpaman, ang malware ng CryptoSink ay hindi nag-aalis ng iba pang mga minero na maaaring ikompromiso ang system; tinitiyak nito na kung sinusubukan ng system na kumonekta sa isang pre-configure na listahan ng mga pool pool, ang trapiko ay nai-redirect sa '127.1.1.1' kaagad. Pinipigilan nito ang mga nakikipagkumpitensya na mga minero mula sa pagkonekta sa kanilang paunang natukoy na mining pool.
Ang operasyon ng CryptoSink ay napaka advanced, at ang pag-alis ng minero mula sa isang kompromiso na host ay maaaring patunayan na sa halip mahirap. Tiyaking magkaroon ng isang tunay na solusyon na anti-malware na mai-install sa iyo sa pag-alis ng banta ng CryptoSink.
