Aanvallers zijn het benutten van niet gecorrigeerde systemen te installeren van een kwaadaardige Samba plug-in die wordt uitgevoerd met de super-user rechten.
Beeld: Getty Images/iStockphoto
Aanvallers zijn free-riding Linux servers met een niet-gepatchte Samba bug met de mijne voor de monero cryptocurrency.
Nu zou een goed moment zijn het installeren van een patch vrijgegeven door open-source project Samba op 25 Mei. Beveiligingsbedrijf Rapid7 gevonden meer dan 100.000 Linux machines open op het internet via poorten 445 en 139 die actief waren versies van de Samba kwetsbare om tot uitvoering van externe code.
Samba zorgt voor file – en print-services voor het delen tussen Windows-en Linux-computers via het SMB-protocol. Dat de Samba bug was wormable trok vergelijkingen met de WannaCry ransomware uitbraak, die berustte op een fout in het Windows-implementatie van de SMB snel verspreiden over netwerken.
Er geen sprake is van een gelijkwaardig uitbraak van ransomware via het Samba-bug, maar aanvallers begon te benutten voor de winst, bijna onmiddellijk nadat de patch is uitgebracht, volgens onderzoekers van Kaspersky Lab.
In plaats van het installeren van ransomware, de Samba aanvallers installeren een cryptocurrency mijnwerker om een winst te draaien op een Linux-machines in de vorm van de monero, een alternatief voor de bitcoin dat is minder voor de computer veeleisende aan de mijne.
In het kielzog van WannaCry, security-onderzoeker Kafeine ontdekte malware genaamd Adylkuzz die hetzelfde SMB-exploit te infecteren Windows-machines voor het doel van de mijnbouw monero. En de laatste week beveiligings bedrijf Doctor Web ontdekt wat leek op een vroeg experiment aan rekruut Raspberry Pi apparaten in een monero-mijnbouw-botnet.
De Samba-led mijnbouw regeling lijkt te zijn met matig succes in het genereren van geld, hoewel Kaspersky weet niet hoe groot het netwerk van besmette machines.
Meer dan een maand, de aanvallers hebben opgedaan 98 moneros (XMR), ter waarde van ongeveer $5,500. Dat is veel minder Adylkuzz, wat leidde tot tienduizenden per maand met meer dan 150.000 geïnfecteerde Windows-computers.
Niettemin, volgens de Kaspersky, de monero-mijnbouw Linux botnet is groeiende. In eerste instantie was het genereren over een XMR per dag, maar in het begin van juni was het genereren over vijf XMR per dag.
“Dit betekent dat het botnet van de apparaten werken voor de winst van de aanvallers is groeiende,” opmerking Kaspersky Lab onderzoekers.
De Samba aanvallers benutten van de fout voor het installeren van een kwaadaardige Samba plug-in die wordt uitgevoerd met de super-user rechten. Echter, de aanvallers moeten raden het pad waar bestanden kunnen worden opgeslagen op de schijf uit te voeren als een Samba server-proces.
Exploiteren modules voor de bug waren die op Rapid7 de open-source Metasploit framework kort na de patch. Deze locatie lijkt te zijn waar criminelen afkomstig van de Samba te exploiteren voor de nieuwe cryptocurrency mijnbouw botnet.
“Het is de moeite waard op te merken dat een soortgelijke lading kan worden gevonden in de uitvoering van de SambaCry exploiteren in Metasploit,” Kaspersky onderzoekers opmerking.
Meer over Linux en beveiliging
Linux-malware verslaaft Raspberry Pi aan mijn cryptocurrency Waarom moet je de patch van de nieuwe Linux sudo gat in de beveiliging van Grote Linux-bug, lage bezorgdheid over de veiligheid Oude Linux kernel security bug bite