Mindst otte Australske web-hosting-udbydere, der blev fundet at have lidt “omfattende kompromis” af kriminelle under en Australsk Cyber Security Center (ACSC) undersøgelse, der blev gennemført i Maj 2018.
Den ACSC ‘ s rapport [PDF] om, hvad der blev kaldt Operation Manisk Menageri blev udgivet den tirsdag. Det viser, at kriminelle havde været at gå på kompromis hosting-servere siden i hvert fald November 2017, og at deres motivation var økonomisk gevinst.
Websteder, der kører på kompromitterede servere blev ændret for at indsætte reklame, og til at støtte søgemaskine optimering (SEO) til andre hjemmesider.
To af de kompromitterede servere blev også brugt til cryptocurrency minedrift, selv om indtægterne var minimal. De samlede af juni 2018 blev 22.57 XMR (Monero) til en værdi af ca AU$3868, fra disse og andre servere i deres netværk.
Den ACSC analyseret omfanget af transaktioner på de kriminelles cryptocurrency konto, og computerkraft til at udføre, at mængden af minedrift.
“Dette indikerer, at den skuespiller, der stadig har en Monero miner, der er installeret på mellem 13 og 38 maskiner selv, da de har kun været observeret rettet mod servere, det er sandsynligt, at antallet af inficerede værter er i den nedre ende af dette interval,” skrev de.
“Der var ingen beviser for, at den aktør, der har forsøgt at bevæge sig lateralt til andre værter på netværket.”
Rapporten fremhæver også den sofistikerede kriminelle, der har udviklet deres teknikker, endda i løbet af deres kampagner såvel som mellem dem, men alligevel er de stadig kørte dele af deres proces manuelt.
Også: Ransomware advarsel: Et globalt angreb kan forårsage $200bn i skade – og vi er bare ikke klar
“Skuespilleren demonstreret evnen til at skræddersy deres værktøjer, der passer til det miljø, de var at gå på kompromis, herunder udnyttelse af forkert tjenester og uploade yderligere binære filer for at hjælpe med rettighedsforøgelse,” ACSC skrev.
Den malware, der bruges til at svække de servere, der var en variant af den Gh0st remote access-værktøj, der med “væsentlige ændringer i netværket communications protocol”, at de kriminelle holdt arbejder på.
“I en hændelse, Gh0st dropper blev opdaget af ofrets anti-virus software og karantæne. Skuespilleren derefter frakobles den kompromitterede miljø kun for at vende tilbage flere timer senere at implementere en ny instans af markøren, som er unddraget ofrets anti-virus.”
Den Gh0st pipetter, der er indgået med udløbet SSL-certifikater, blot en uge før fra “Fujian identiske investeringer co.,Ltd”. Et andet værktøj, RID kapre slid, blev underskrevet med et andet certifikat stjålet, blot en uge før det blev brugt, fra “上海域联软件技术有限公司’ (Shanghai YuLian Software Technology co. Ltd.)”
Men de kriminelle også manuelt udnyttes servere og indsat malware, som ACSC sagde, var at tage dem “en time eller, i det ene tilfælde, flere dage”.
“Analyse af web logs fra kompromitterede værter angivet skuespilleren bruges en web-browser til manuelt at interagere med websteder til at identificere sårbarhed.
“Når identificeret, sårbarhed blev manuelt udnyttes til at skabe en web-shell på serveren for at sikre, at fremtidige trin. Skuespilleren, der anvendes af flere offentligt tilgængelige web-skaller, herunder varianter af ChinaChopper,” ACSC skrev.
“Når web-shell var på plads, skuespiller skiftede fra at bruge en web browser til at bruge en controller til at udføre fremtidige interaktioner med web-shell.”
Se: ACSC lossepladser årlige konference, partnere med AISA for cyber begivenheder
Men selv med disse manuelle processer, de kriminelle i nogle tilfælde stadig kunne få administrator-adgang til målrettede servere i mindre end 70 minutter.
Den ACSC ‘ s rapport har to sæt af råd, en for hosting-udbydere, der har fuld kontrol over de servere, og en for de kunder, der kun har begrænset adgang.
“Hvis udbyder er ikke sikker, en triviel sårbarhed i et andet website, der er hosted på den samme service, som i sidste ende vil føre til et kompromis af alle hjemmesider co-vært på den pågældende leverandør,” ACSC skrev.
Mange af de anbefalede udbyder sikkerhedsproblemerne er allerede i ACSC er Vigtigt, Otte, såsom at lappe styresystem og web-applikationer, såsom et content management system (CMS); ikke kører web-tjenester med administratorrettigheder, og application hvidlistning.
Den ACSC også anbefaler overvågning hostede sites for tegn på web-skaller, der bliver skabt; – konto revision til at opdage nye konti, der er oprettet af hackere, og nulstiller alle legitimationsoplysninger på de berørte servere.
“Uden en sikker underliggende udbyder, det er meget usandsynligt, at en kunde ikke kan opnå, hvad de vært på den udbyder,” ACSC skriver.
“Hvis udbyder er ikke sikker, en triviel sårbarhed i et andet website, der er hosted på den samme service, som i sidste ende vil føre til et kompromis af alle hjemmesider co-vært på den pågældende leverandør.”
Den ACSC tyder på, at kunder tilføje data og service sikkerhed krav til hosting udbyder kontrakt.
“Kunderne rådes til at undersøge, om deres hosting-udbyder vil give den underliggende sikkerhed for kunden kræver for følsomheden af de data, eller tjenesteydelse, der er vært.”
De anbefaler også kunder til at lappe deres web-applikationer og CMS; deaktiver unødvendige plugins og programmer, overvåge ændringer til webstedet, og nulstil legitimationsoplysninger for deres hosting-udbyder.
“Legitimationsoplysninger kan omfatte brugernavne, adgangskoder og/eller certifikater, der anvendes til godkendelse proces. Dette omfatter legitimationsoplysninger til at styre den hostede tjeneste, og styre de særlige steder på hosted service.”
Relaterede Dækning
Cryptocurrency minedrift malware er nummer et malware-trussel – igen
Cryptojackers som CoinHive top Check Point ‘ s ‘most wanted’ malware liste – men Røg Loader ‘ s first entry point til, hvad der kan være til at komme.
Over 4 procent af alle Monero blev udvundet af malware botnets
Akademikere siger, at malware forfattere kan have udbetalt mindst $57 millioner værd af Monero i løbet af de sidste fire år.
Malware rettet mod IoT-udstyr voksede 72% i Q3 alene (TechRepublic)
Alt malware prøver voksede med 34% i løbet af de seneste år, med store stigninger i coinmining og fileless angreb, i henhold til en McAfee Labs rapport.
Japanske regering har planer om at bryde ind i borgernes enheder, tingenes internet
Japanske regering ønsker at sikre, IoT-enheder, før Tokyo 2020 Ol og undgå Olympiske Destroyer og VPNFilter-lignende angreb.
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre