Sysrv-hello Botnet

Sysrv-merhaba Botnet, kripto madenciliği köle makinelerine eklemek için savunmasız Linux ve Windows kurumsal sunucuları arayan yeni keşfedilen bir botnettir. Tehdidin kurbanları arasında Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype ve Apache Struts bulunuyor. Kripto madenciliği botnetlerinin çoğu gibi, Sysrv-hello, XMRig madencisinin, Monero paraları oluşturmak için virüslü sistemin donanım kaynaklarını ele geçiren bir sürümünü de dağıtır.

Nispeten yeni bir tehdit olmasına rağmen, Sysrv-merhaba botnet zaten birkaç önemli güncelleme ve değişiklik gördü. Başlangıçta tehdit, ayrı madencilik ve yayılma (solucan) bileşenlerine sahip modüler bir yapıya sahipti. Bununla birlikte, en son örnekler, her iki işlevi de gerçekleştirebilen tek bir ikili içerir.

İlk Uzlaşma Vektörleri

Sysrv-merhaba tarafından kötüye kullanılan güvenlik açıkları da yükseltildi. Tehdidin en yeni varyantları, hedeflenen sistemlere ilk erişim sağlamak için altı belirli güvenlik açığına dayanır:

• Mongo Express RCE (CVE-2019-10758)
• XML-RPC (CVE-2017-11610)
• Saltstack RCE (CVE-2020-16846)
• Drupal Ajax RCE (CVE-2018-7600)
• ThinkPHP RCE (CVE yok)
• XXL-JOB Unauth RCE (CVE yok)

Sunucuda bir yer edindikten sonra, Sysrv-merhaba, varsa rakip kripto madencilerini öldürür, kendi madencisini başlatır ve tehlikeye atılan ağa yayılmaya devam eder. Botnet, yanal olarak hareket etmek için virüslü sunuculardan özel SSH anahtarları toplar ve bunları kaba kuvvet saldırıları başlatmak için kullanır.

Infosec araştırmacıları, Sysrv-merhaba botnet tarafından üretilen Monero coinlerini tutmak için kullanılan kripto cüzdanlardan birini belirlemeyi başardılar. Orada depolanan miktar o kadar etkileyici olmasa da - 12 XMR'nin (Monero) biraz üzerinde veya 4000 $ civarında, kripto madenciliği botnetlerinin genellikle bu türden birden fazla cüzdan kullandığı ve bu nedenle bilgisayar korsanlarının toplam kazançlarının önemli ölçüde daha yüksek olabileceği unutulmamalıdır.