Afbeelding: ZDNet
De criminele bende achter de Gootkit malware heeft dezelfde fout die duizenden legitieme bedrijven hebben gemaakt voordat ze in het afgelopen jaar — ze links MongoDB databases aangesloten op het internet zonder een wachtwoord.
Het lek toegestaan security-onderzoeker Bob Diachenko te downloaden groep gegevens en inzicht in hun activiteiten.
Diachenko deelden een aantal van deze gegevens uitsluitend met ZDNet, en dit artikel is een resultaat van weken van op zoek naar voorbeelden van gegevens de Gootkit bende verzameld van geïnfecteerde hosts.
Wat is Gootkit?
Gootkit is de naam van een stam van malware. Hierna gebruiken we de naam Gootkit om te verwijzen naar zowel de malware en de criminele groep achter.
De malware werd voor het eerst gespot in het wild in 2014, en het zich ontwikkeld sinds die tijd. In het begin, Gootkit functioneerde als een banking trojan — allemaal in woede bij de tijd. Het zou kunnen infecteren slachtoffers en zou alleen activeren op sites van banken, waar het zou registreren login gegevens.
Het was vrij uniek voor zijn tijd, het grijpen van een paar koppen in infosec druk door de aanwezigheid van een roman “video grijpen module” opgenomen dat de activiteit van een gebruiker op sites van banken.
Echter, in de afgelopen paar jaar, Gootkit heeft omgezet in een veel eenvoudiger, maar veel gevaarlijker informatie-stelende trojan.
ZDNet bereikt security onderzoekers van Fox-IT om een idee te krijgen van wat Gootkit is momenteel in staat is. Volgens de onderzoekers, in zijn huidige vorm, Gootkit richt zich niet op e-banking sites meer.
In plaats daarvan, de malware richt zich op het verzamelen een breed scala van informatie van besmette slachtoffers, en het verzenden van deze gegevens naar externe servers (zoals die Diachenko onlangs ontdekt).
Tegenwoordig Gootkit de belangrijkste functies zijn gericht op het stelen van gegevens van browsers. Het kan halen en exfiltrate gegevens zoals navigatiegeschiedenis, wachtwoorden, cookies, en ondersteunt het uitpakken van deze informatie van meerdere browser types, van Chrome en Internet Explorer.
Bovendien Gootkit kunt zich ook aanmelden wat de gebruiker invoert in het web vormen. Het gaat hierbij niet alleen wachtwoorden, maar ook creditcard-nummers.
Fox-IT zei Gootkit ook regelmatig neemt screenshots van de geïnfecteerde gebruiker het bureaublad, verzamelt alles over de host-PC-platform, en verzamelt ook gegevens over een beveiligde hardware aangesloten op een PC.
Niet een grote operatie
In termen van grootte, het Gootkit werking is nergens in de buurt van de grootte van andere malware, botnets, zoals Emotet of TrickBot.
Echter, de kleinere omvang kan worden toegeschreven aan de manier waarop de Gootkit bende kiest ervoor om het verspreiden van de malware. In plaats van het gebruik van een shotgun en een aanpak die bestaat uit het versturen van enorme hoeveelheden van spam-e-mail (malspam), Gootkit is gebaseerd op campagnes die gericht zijn op kleine geografische gebieden.
Dat is de reden waarom het zelden geen koppen in de afgelopen jaren. In een wereld gedomineerd door berichten over ransomware en cryptominers, we hebben zelden gehoord over Gootkit en de kleinschalige operaties.
De meest recente openbare rapportage op een Gootkit activiteit werd gepubliceerd in juni en gedetailleerde zeer kleine schaal campagne die alleen gericht italiaanse gebruikers.
Fox-IT onderzoekers zeiden ze hebt gespot dezelfde campagne, maar ook anderen dat gericht op de gebruikers van de franse, Zwitserse en Oostenrijkse banken, en zelfs sommige cryptocurrency uitwisselingen.
Twee lekke MongoDB servers
Maar terwijl de groep heeft meestal al heel voorzichtig over haar activiteiten, ze lijken te hebben onlangs een fout gemaakt, toen twee van hun command en control-servers plotseling werd publiekelijk toegankelijk is voor een week in juli.
Het is onduidelijk of de Gootkit bende vergeten om een wachtwoord in te stellen, of als een firewall blokkeert de toegang tot deze servers ging. Echter, er is iets gebeurd, en deze servers werden blootgesteld, werden geïndexeerd door diverse IoT zoekmachines, en uiteindelijk ontdekt door Diachenko de loop van de zomer.
De twee servers liepen MongoDB, gebaseerd op hun inhoud, ze leek het aggregeren van gegevens van drie Gootkit sub-botnets, en een totaal van 38,653 geïnfecteerde hosts.
In de databases, vinden we ook-met de naam MongoDB collecties, die was alleen natuurlijke, aangezien beide servers waren het aggregeren van de gegevens van hetzelfde type.
We vinden MongoDB collecties met de naam “Luhnforms,” waarin opgenomen informatie over de gebruikers van betaalkaarten. We vinden ongeveer 15.000 vermeldingen in de twee databases, zogenaamd vertegenwoordigen details voor 15.000 kaarten te betalen.
Elke “Luhnforms” item bevatte de site waar de payment card gegevens verzameld, browser en PC-details, en — natuurlijk — de creditcard zelf, storedin leesbare tekst.
In MongoDB collecties met de naam “Windowscredentials,” de Gootkit malware ook aangemeld gebruikersnaam en referenties voor sites waar de gebruikers zich registreren van een account, of had aangemeld terwijl de malware actief was.
De collectie de naam suggereert dat de malware was het verzamelen van Windows-referenties van de gebruiker, maar de gegevens ZDNet geanalyseerd voorgesteld deze referenties werden voor online accounts.
Gebruikersnamen en wachtwoorden zijn opgeslagen in leesbare vorm, en volgens Diachenko, er waren 2,385,472 inzendingen, hoewel we vermoeden dat sommige items zijn dubbels.
In de gegevens die wij hebben geanalyseerd, hebben we gevonden referenties voor alle soorten websites, van poolse ski-winkels te Envato markten, en met de bulgaarse overheid te cryptocurrency uitwisselingen.
De twee Gootkit MongoDBs ook opgenomen configuratie bestanden die zijn verzonden naar een geïnfecteerde hosts. Deze bestanden bevatten links naar andere Gootkit modules. Geïnfecteerde hosts werden verondersteld te downloaden en uitvoeren van deze modules aan het verbeteren van de malware biedt.
De IP-adressen van deze servers waren bekend om kwaadaardige op sites als VirusTotal, samen met de bestanden beschikbaar om te downloaden. Dit heeft ons geholpen controleren of buiten twijfel dat we waren op zoek naar een authentieke malware werking.
Andere Gootkit gegevens
Maar dit was niet zo Gootkit was het verzamelen. De malware ook gestolen cookie-bestanden, nam screenshots van de gebruikers-scherm, en verzamelde informatie over de geïnfecteerde computer technische specificaties-net als Fox-IT vertelde ons in ons interview. [Zie de afbeelding hieronder voor een idee wat was opgeslagen in de database.]
Voor elk besmet slachtoffer, de malware had verzameld details, zoals interne en openbaar IP-adres, hostnaam, domein naam, de CPU-gegevens, gegevens geheugen, als het systeem was een VM of niet, ISP naam, OS details, OS installeren datum, MAC-adres, browser gegevens, en meer.
Het bedrag van de technische gegevens van elk slachtoffer was overweldigend en het was meer dan voldoende om het Gootkit crew-of iemand anders-met een diepgaand overzicht van het leven van het slachtoffer.
Gootkit operatoren zou geen moeilijkheden hadden bij het bepalen of een slachtoffer met behulp van een home PC, een computer op een regering netwerk, of van een op een gesloten enterprise intranet.
In het afgelopen jaar, malware, botnets, zoals Emotet en TrickBot hebben een mooie winst te maken door “install ruimte” op computers besmet. Deze twee botnets huur toegang op geïnfecteerde computers aan andere criminele bendes, die gebruik maken van deze toegang te vallen extra malware, zoals ransomware of cryptocurrency mijnwerkers.
Een premium is geplaatst op computers vinden op de onderneming of de overheid netwerken, beschouwd als een hoog-waarde-systemen.
Terwijl Gootkit heeft nooit bekend gestaan om te verkopen “installeren ruimte” om andere bendes, het grote aantal geïnfecteerde hosts te vinden in deze twee lekke databases, samen met de schat aan gegevens van de gebruiker, kan de bende te doen, als het ooit wilde.
Databases beveiligd na een week
Maar de Gootkit MongoDB databases niet blootgesteld blijven voor lang. Diachenko zei hij vond de servers op 4 juli, en zij beiden werden genomen door 10 juli. Sindsdien zijn de twee servers hebben niet gelekt informatie weer.
Het is onduidelijk of de Gootkit bende zag Diachenko snuiven via hun servers, of als ze haalde de servers na het uitvoeren van een beperkte campagne.
Met de hulp van ZDNet, Diachenko verstrekt een kopie van de gegevens van de wetshandhavers, maar we hebben nog niet gehoord wat terug. Vandaag de dag, de onderzoeker publiceerde zijn bevindingen in een verslag over zijn bedrijf op zijn blog.
Veiligheid
De ransomware crisis veel erger
LastPass bug lekken referenties van de vorige site
De Database lekken van gegevens op de meeste van Ecuador ‘ s burgers, met inbegrip van 6,7 miljoen kinderen
Wie is eigenaar van uw medische gegevens? (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
Wat is het voeden van de onwaarschijnlijke opkomst van de miljonair hacker? (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters