Angripare utnyttjar unpatched-system för att installera en skadlig Samba plugin som körs med super-användare behörighet.
Bild: Getty Images/iStockphoto
Angriparna är free-riding Linux-servrar med en okorrigerad Samba fel att bryta för monero cryptocurrency.
Nu skulle vara en bra tid att installera en patch släpptes av open-source-projekt Samba den 25 Maj. Säkerhetsföretaget Rapid7 som finns över 100 000 Linux-maskiner öppet på internet via hamnar 445 139 som kördes versioner av Samba utsatta för fjärrkörning av kod.
Samba erbjuder fil – och print-dela tjänster mellan Windows och Linux-maskiner med hjälp av SMB-protokollet. Att Samba-bugg var wormable drog jämförelser med den WannaCry ransomware utbrott, som förlitat sig på ett fel i Windows genomförandet av SMB för att snabbt sprida sig i nätverk.
Det har inte funnits en motsvarande utbrott av ransomware använder Samba fel men angriparna började utnyttja det för vinst nästan omedelbart efter patchen släpptes, enligt forskare från Kaspersky Lab.
I stället för att installera ransomware, Samba angripare att installera en cryptocurrency miner för att gå med vinst från Linux-maskiner i form av monero, ett alternativ till bitcoin som är mindre beräkningsmässigt krävande för mig.
I kölvattnet av WannaCry, säkerhet forskare Kafeine har upptäckt skadlig kod som kallas Adylkuzz som används för samma SMB utnyttja för att infektera Windows-maskiner för gruvdrift monero. Och förra veckan bevakningsföretag Doctor Web avslöjade vad som verkade vara ett tidigt försök att rekrytera Raspberry Pi-enheter till en monero-utvinning av botnät.
Samba-led-mining-system verkar vara med måttlig framgång på att generera pengar, även om Kaspersky vet inte hur stort nätverk av infekterade maskiner.
Över en månad, angriparna har fått 98 moneros (XMR), värt ca $5,500. Det är långt mindre Adylkuzz, vilket genererat tiotusentals per månad med över 150 000 infekterade Windows-maskiner.
Ändå, enligt Kaspersky, den monero-mining Linux botnät är växande. I början var det genererar cirka en XMR per dag, men senast i början av juni var det genererar cirka fem XMR per dag.
“Detta innebär att botnet av enheter som arbetar för vinst av angriparna är växande,” not Kaspersky Labs forskare.
Samba angripare utnyttja fel att installera en skadlig Samba plugin som körs med super-användare behörighet. Dock måste angripare antar att den väg där filer kan lagras på hårddisken för att köra som en Samba-server-processen.
Utnyttja moduler för bug visas på Rapid7 öppen källkod Metasploit framework snart efter patch. Denna plats verkar vara där brottslingar erhållit Samba utnyttja för nya cryptocurrency gruv-botnät.
“Det är värt att notera att ett liknande nyttolast kan hittas i genomförandet av SambaCry utnyttja i Metasploit,” Kaspersky forskare not.
Mer om Linux och säkerhet
Linux malware förslavar Raspberry Pi till min cryptocurrency Varför du måste patch den nya Linux-sudo säkerhetshål Stora Linux-bugg, låg säkerhet gäller Gamla Linux-kärnan säkerhet bugg bett