Minst åtta Australiska webbhotell konstaterades ha drabbats av “omfattande kompromiss” av brottslingar under en Australisk Cyber Security Centre (ACSC) undersökning som genomfördes i Maj 2018.
Den ACSC rapport [PDF] på vad som kallades Operation Maniska Menageri släpptes på tisdagen. Det visar att de kriminella hade varit att kompromissa hosting servrar åtminstone sedan November 2017, och att deras motivation var ekonomisk vinning.
Webbplatser som körs på äventyras servrar var modifierad för att infoga reklam och till stöd för sökmotoroptimering (SEO) för andra webbplatser.
Två av de infekterade servrar användes också för cryptocurrency gruvdrift, även om intäkterna var minimal. Summan av juni 2018 var 22.57 XMR (Monero) till ett värde av ca AU$3868, från dessa och andra servrar i deras nätverk.
Den ACSC analyseras transaktionsvolymen på den brottslingar ” cryptocurrency konto, och hur mycket datorkraft som behövs för att utföra den volym av gruvdrift.
“Detta tyder på skådespelaren fortfarande har en Monero miner installerat på mellan 13 och 38 maskiner, men de har endast observerats med inriktning servrar, är det troligt att antalet äventyras värdar är på den nedre delen av detta intervall,” skrev de.
“Det fanns inga bevis att skådespelaren försökte att flytta i sidled för att andra datorer på nätverket.”
Rapporten belyser också förfining av brottslingar, som utvecklats av deras tekniker även under deras kampanjer samt mellan dem, men de fortfarande sprang delar av processen manuellt.
Också: Ransomware varning: En global attack kan orsaka $200 miljarder skador – och vi är bara inte redo
“Skådespelaren visat att de har förmåga att anpassa sina verktyg för att passa just den miljö som de var kompromissa, inklusive utnyttja felaktigt tjänster och ladda upp ytterligare binärer för att hjälpa till med utökning av privilegier,” ACSC skrev.
Den skadliga kod som används för att angripa de servrar som var en variant av Gh0st remote access-verktyg, ett med “betydande ändringar av nätverket kommunikation protokoll” som brottslingar fortsatte att arbeta på.
“I en incident, den Gh0st dropper upptäcktes av offrets anti-virus program och i karantän. Den aktör som sedan kopplas bort från den infekterade miljön bara att gå tillbaka flera timmar senare för att distribuera en ny instans av pipetten som undanhållits offrets anti-virus.”
Den Gh0st droppers tecknats med utgånget SSL-certifikat, bara en vecka innan från “Fujian identiska investment co.,Ltd”. Ett annat verktyg, RID kapa slit, har tecknats med ett annat certifikat som stulits, bara en vecka innan det användes, från “上海域联软件技术有限公司’ (Shanghai YuLian Software Technology co. Ltd.)”
Men de kriminella också manuellt utnyttjas servrar och distribueras av skadlig kod, som ACSC sa var att ta dem “för en timme eller, i ett fall, i flera dagar”.
“Analys av webbloggar från äventyras värdar som anges skådespelaren som används i en webbläsare manuellt för att interagera med webbplatser för att identifiera sårbarhet.
“En gång identifieras, sårbarhet var manuellt utnyttjas för att skapa en webb-shell på servern för att göra det möjligt för framtida åtgärder. Skådespelaren användas flera offentligt tillgänglig webb skal inklusive varianter av ChinaChopper” ACSC skrev.
“När webben skalet var på plats, skådespelaren bytte från använda en webbläsare för att använda en kontroller för att utföra framtida interaktion med webben skal.”
Se: ACSC tippar årliga konferens, som partner med AISA för it-händelserna
Men även med de manuella processer, och att brottslingar i vissa fall ändå få administratören tillgång till riktade servrar i mindre än 70 minuter.
Den ACSC rapport har två uppsättningar av råd, en för de webbhotell som har full kontroll över servrarna, och en för de kunder som har endast begränsad tillgång.
“Om webbhotellet inte är säker, en trivial sårbarhet i en annan webbplats finns på samma tjänst i slutändan kommer att leda till en kompromiss av alla webbplatser co-värd på att leverantör,” ACSC skrev.
Många av de rekommenderade webbhotell begränsande faktorer finns redan i ACSC Viktigt Åtta, såsom patchning av operativsystem och web applikationer såsom ett content management system (CMS); inte kör webbtjänster med administratörsrättigheter, och tillämpning vitlista.
Den ACSC rekommenderar också övervakning värd platser för tecken på webben skal som håller på att skapas, konto revision för att upptäcka nya konton som skapas av angriparna, och återställa alla referenser på berörda servrar.
“Utan en säker underliggande leverantör, är det mycket osannolikt att en kund kan säkert vad de håller på leverantör,” ACSC skriver.
“Om webbhotellet inte är säker, en trivial sårbarhet i en annan webbplats finns på samma tjänst i slutändan kommer att leda till en kompromiss av alla webbplatser co-värd på att leverantören.”
Den ACSC tyder på att kunderna lägga till data och tjänster säkerhetskrav på hosting-provider-avtal.
“Kunderna uppmanas att undersöka om webbhotellet kommer att ge de underliggande säkerhet kunden kräver för känsliga uppgifter eller tjänsten är värd.”
De rekommenderar också kunder att lappa sina webbapplikationer och CMS-system; inaktivera onödiga plugins och applikationer, övervaka ändringar av webbplatsen, och återställa autentiseringsuppgifter för sina webbhotell.
“Referenser kan innehålla användarnamn, lösenord och/eller certifikat som används för autentisering process. Detta inkluderar referenser för att hantera molntjänsten, och hantera den specifika platser på molntjänsten.”
Relaterade Täckning
Cryptocurrency gruv-malware är ett malware hot – igen
Cryptojackers som CoinHive toppen Check Point ‘s” most wanted’ listan över skadlig programvara – men Rök Loader ‘ s första inlägg poäng till vad som kan komma.
Över 4 procent av alla Monero bröts av skadlig kod botnät
Akademiker säger att skadlig kod kan ha betalat in minst $57 miljoner kronor av Monero under loppet av de senaste fyra åren.
Skadlig kod riktade IoT enheter ökade med 72% i Q3 ensam (TechRepublic)
Totalt prover på skadlig kod ökade med 34% under det senaste året, med stora ökningar i coinmining och fileless attacker, enligt en McAfee Labs rapport.
Japanska regeringen planerar att hacka sig in i medborgarnas IoT enheter
Japanska regeringen vill säkra IoT-enheter innan Tokyo Os 2020 och undvika Olympiska Jagare och VPNFilter-liknande attacker.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter