EternalRed

Von GoldSparrow in Vulnerability

Übersetzen Sie in:

EternalRed und SambaCry sind die Infosec-Bezeichnungen für die Sicherheitsanfälligkeit CVE-2017-7494, die * nix-basierte Systeme betrifft. Insbesondere war es in den Samba-Versionen von 3.5.0, die 2010 veröffentlicht wurden, bis zu den Versionen 4.6.4 / 4.5.10 / 4.4.14 des Pakets vorhanden, als es gepatcht wurde. Obwohl die Sicherheitsanfälligkeit mit dem berüchtigten EternalBlue- Exploit verbunden war, wurde EternalRed erstmals in der Angriffskette von Hackern entdeckt, die keine Ransomware-Bedrohungen wie WannaCry bereitstellten, sondern stattdessen einen Cryptocurrency Miner ablegten.

Die Sicherheitsanfälligkeit ermöglichte es einer Nutzlast in Form eines Samba-Plug-Ins, Superprivilegien zu erhalten. Die Cyberkriminellen mussten jedoch den vollständigen Pfad zur abgelegten Nutzlast ab dem Stammverzeichnis erraten. Bei Erfolg leihen die Hacker die Datei aus und führen sie als Teil des Samba-Server-Prozesses aus. Die Datei wird dann gelöscht, sodass die Nutzdaten vollständig im Speicher des gefährdeten Systems arbeiten können. Die Forscher beobachteten, dass Nutzlasten durch die EternalRed-Sicherheitsanfälligkeit geliefert werden sollen.

Die erste hieß INAebsGB.so und enthielt eine Reverse-Shell, die dem Angreifer bei ihrer Initiierung fast die volle Freiheit gab, alle Shell-Befehle aus der Ferne auszuführen. In der Praxis könnten die Hacker zusätzliche Anwendungen aus dem Internet herunterladen und auf dem gefährdeten System ausführen oder auf Wunsch alle Daten des Benutzers einfach löschen.

Die andere Nutzlast, die EternalRed ausnutzte, ist cblRWuoCc.so. Hauptzweck ist die Bereitstellung von CpuMiner, einem Open-Source-Cryptocurrency-Mining-Tool. Die im Angriff verwendete spezielle cpuminer-Version wurde geändert, um ohne zusätzliche Parameter ausgeführt werden zu können. Infolgedessen wurden alle generierten Kryptowährungsmünzen direkt an die Brieftasche der Hacker geliefert. Die spezifische Währung cblRWuoCc.so wurde erstellt, um Monero (XMR) abzubauen. Durch die Verfolgung der Brieftaschenadresse stellten die Cybersicherheitsforscher fest, dass die an sie gelieferten Monero-Münzen rasch zunahmen. Von einer einzelnen Münze am ersten Tag der Kampagne bis zu etwa fünf in den späteren Zeiträumen. Nach einem Monat Crypto-Mining hatten die Hacker 98 XMR-Münzen angehäuft, was zu diesem Zeitpunkt ungefähr 5500 US-Dollar entsprach.

Suche

Region ändern

EternalRed

Kommentar abgeben

Im Trend

„YouPorn“-E-Mail-Betrug

Safe Search Eng

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...