Angreifer nutzen ungepatchte Systeme zu installieren bösartiger Samba-plugin, das läuft mit super-user-Privilegien.
Bild: Getty Images/iStockphoto
Angreifer free-riding-Linux-Servern mit ungepatchten Samba-bug, um mir für die monero kryptogeld.
Jetzt wäre ein guter Zeitpunkt, installieren Sie einen patch veröffentlicht, der von der open-source-Projekt Samba auf Mai 25. Sicherheitsfirma Rapid7 fand mehr als 100.000 Linux-Rechner geöffnet, auf dem internet über die ports 445 und 139 ausgeführt wurden Versionen von Samba anfällig für remote code execution.
Samba stellt Datei – und Druck-Dienste für den Austausch zwischen Windows-und Linux-Computern mithilfe von SMB-Protokoll. Der Samba-bug wurde wormable zog Vergleiche zu den WannaCry ransomware-Infektion, die beruhte auf einem Fehler in der Windows-Implementierung von SMB zu schnell verbreiten sich über Netzwerke.
Es wurde nicht eine gleichwertige Ausbruch von ransomware mithilfe der Samba-bug, sondern die Angreifer begannen, es zu nutzen, für profit fast sofort, nachdem der patch veröffentlicht wurde, nach Ansicht der Forscher von Kaspersky Lab.
Anstatt die Installation von ransomware, die Samba-Angreifer installieren Sie eine kryptogeld Bergmann zu drehen einen Gewinn von Linux-Maschinen in form von monero, eine alternative zu bitcoin, die weniger technisch anspruchsvoll mine.
Im Zuge der WannaCry der Sicherheitsforscher Kafeine entdeckte malware namens Adylkuzz, dass die gleiche SMB-exploit zu infizieren Windows-Maschinen, die für den Zweck des Bergbaus monero. Und Letzte Woche Sicherheitsfirma Doctor Web aufgedeckt, was zu sein schien ein frühes experiment zu rekrutieren Raspberry Pi-Geräte in eine monero-mining-botnet.
Die Samba-led-Bergbau-Schema zu sein scheint mit mäßigem Erfolg zu generieren Geld, obwohl Kaspersky nicht weiß, wie groß das Netzwerk der infizierten Computer ist.
Über einen Monat, hat der Angreifer gewonnen, 98 moneros (XMR) im Wert von rund 5.500 Dollar. Das ist weit weniger Adylkuzz generiert Zehntausende pro Monat mit über 150.000 infizierte Windows-Maschinen.
Dennoch, laut Kaspersky, der monero-mining-Linux-botnet wächst. Zunächst war von etwa einem XMR pro Tag, aber bis Anfang Juni wurde es von etwa fünf XMR pro Tag.
“Dies bedeutet, dass die botnet-Geräte arbeiten für den profit der Angreifer wächst,” Hinweis für Kaspersky-Lab-Forscher.
Die Samba-Angreifer nutzen die Schwachstelle, um zu installieren eine bösartige Samba-plugin, das läuft mit super-user-Privilegien. Jedoch, die Angreifer müssen erraten Sie den Pfad, wo die Dateien gespeichert werden können, auf dem Laufwerk ausführen als Samba-server-Prozess.
Exploit-Module für den Fehler waren, die auf Rapid7 der open-source-Metasploit-framework bald nach dem patch. Dieser Standort erscheint, wo kriminelle stammen aus die Samba-exploit für die neuen kryptogeld-mining-botnet.
“Es ist erwähnenswert, dass eine ähnliche Nutzlast finden sich in der Umsetzung der SambaCry nutzen Metasploit,” Kaspersky Forscher beachten.
Mehr auf Linux und security
Linux-malware versklavt Raspberry Pi zu mir kryptogeld Warum müssen Sie patch das neue Linux-sudo-Sicherheitslücke Großer Linux-bug, geringe Sicherheitsbedenken Alten Linux-kernel-security-bug-Biss