
Angribere udnytter unpatched systemer til at installere en skadelig Samba plugin, der kører med super-bruger privilegier.
Billede: Getty Images/iStockphoto
Angribere er free-riding Linux-servere med en ikke-opdateret Samba bug til min for monero cryptocurrency.
Nu ville være et godt tidspunkt at installere en patch frigivet som open-source projekt, Samba på 25 Maj. Sikkerhed firmaet Rapid7 findes over 100.000 Linux-maskiner åbne på internettet via havne 445 og 139, der kører versioner af Samba sårbare over for ekstern udførelse af kode.
Samba giver fil – og print-udveksling af tjenester mellem Windows og Linux-maskiner, ved hjælp af SMB-protokollen. At Samba fejl blev wormable drog sammenligninger til WannaCry ransomware udbrud, som beror på en fejl i Windows implementering af SMB til hurtigt at sprede sig på netværk.
Der har ikke været en tilsvarende udbrud af ransomware bruge Samba-fejl, men angribere begyndte at udnytte det for profit næsten umiddelbart efter patchen blev udgivet, ifølge forskere fra Kaspersky Lab.
I stedet for at installere ransomware, Samba angribere installere en cryptocurrency miner til at vende et overskud fra Linux-maskiner i form af monero, et alternativ til bitcoin, som er beregningsmæssigt mindre krævende at mine.
I kølvandet på WannaCry, sikkerhedsekspert Kafeine opdaget malware, der kaldes Adylkuzz, at der anvendes den samme SMB udnytte til at inficere Windows maskiner henblik på minedrift monero. Og i sidste uge vagtselskab Læge Web afdækket, hvad der syntes at være et tidligt eksperiment for at rekruttere Raspberry Pi-enheder til en monero-mining botnet.
Samba-led minedrift ordningen ser ud til at have moderat succes ved at generere penge, selvom Kaspersky ikke vide, hvordan store netværk af inficerede maskiner.
Over en måned, angriberne har fået 98 moneros (XMR) til en værdi af omkring $5,500. Det er langt mindre Adylkuzz, som genereres titusinder per måned med over 150.000 inficerede Windows-maskiner.
Ikke desto mindre, ifølge Kaspersky, monero-mining Linux botnet er voksende. I første omgang var det generere omkring en XMR per dag, men i begyndelsen af juni var det generere omkring fem XMR per dag.
“Det betyder, at botnet af enheder, der arbejder for profit af angriberne er voksende,” bemærk Kaspersky Lab forskere.
Samba fjernangribere kunne udnytte fejlen til at installere en skadelig Samba plugin, der kører med super-bruger privilegier. Men angriberne skal gætte den sti, hvor filerne kan gemmes på harddisken til at udføre som en Samba-server proces.
Udnytte moduler for fejlen blev opført på Rapid7 er open-source Metasploit framework snart efter patch. Denne placering ser ud til at være, hvor de kriminelle indkøbt Samba udnytte til nye cryptocurrency minedrift botnet.
“Det er værd at bemærke, at en lignende nyttelast kan findes i gennemførelsen af SambaCry udnytte i Metasploit,” Kaspersky bemærker forskerne.
Mere om Linux og sikkerhed
Linux-malware slavebinder Raspberry Pi til mine cryptocurrency, Hvorfor du skal lappe den nye Linux sudo sikkerhedshul Store Linux fejl, lav sikkerhed bekymringer Gamle Linux-kernen sikkerhed bug bid