Sustes

Die Aktivitäten der Sustes-Malware wurden kürzlich von Cybersicherheitsforschern entdeckt. Nach Analyse dieser Bedrohung gelangten Experten zu dem Schluss, dass dies ein Miner ist, der für das Mining der Monero-Kryptowährung verwendet wird. Die Popularität von Kryptowährungen hat in den letzten zehn Jahren stark zugenommen. Dabei sahen Cyberkriminelle natürlich die Möglichkeit, auf dem Rücken unwissender Nutzer zu profitieren. Dies wurde auf verschiedene Weise erreicht: Durch das Sammeln der Cryptocurrency-Wallets der Benutzer, das Hijacken ihrer Zwischenablagen und das Einfügen ihrer eigenen Wallet-Adressen und natürlich das Einspielen von Cryptocurrency-Minern wie der Sustes-Malware auf den Systemen der Benutzer.

Zielt auf IoT-Geräte und Linux-Server ab

Die Bedrohung durch Sustes scheint einen Netzwerkscanner für IoT-Geräte (Internet of Things) und Linux-Server zu verwenden. Anstatt sich wie ein Wurm zu verbreiten, wird die Sustes-Malware wahrscheinlich einen Brute-Force-Angriff verwenden, bei dem nach schwach gesicherten Konten gesucht wird, die leicht kompromittiert werden können. Die Sustes-Malware würde auch versuchen, öffentlich bekannte Exploits gegen die beabsichtigten Ziele einzusetzen, wenn die erste fehlschlägt. Wenn einer der beiden Vorgänge erfolgreich ist, wird eine Widgetanforderung an eine Domäne in der Kontrolle des Angreifers gesendet, und die Bedrohung würde versuchen, eine Shell-Skriptdatei auf das Gerät des Opfers zu ziehen, die dann ausgeführt wird. Im Falle eines erfolgreichen Brute-Forcing-Versuchs oder der Nutzung eines bekannten Exploits lädt die Sustes-Malware eine mr.sh-Skriptdatei herunter. Die Sustes-Bedrohung durchsucht das infiltrierte Gerät nach unerwünschten PIDs (Prozess-IDs aktiver Programme), die abgetötet werden. Außerdem wird nach aktiven Instanzen von Sustes gesucht, um sicherzustellen, dass ein bereits gefährdetes Gerät in seinem Netz nicht unterbrochen wird. Das gleiche Skript weist dann verschiedene Shell-Variablen wie f2 ihrer Dropper-Site zu (192 [.] 99 [.] 142 [.] 226: 8220) und weist f2 anschließend die spezifischen Pfade zu, zum Beispiel `/ xm64 (ausführbare Miner-Datei). `und` wt.conf (Konfigurationsdatei) `, die später zum Löschen weiterer Teile benötigt werden.

Stellt einen benutzerdefinierten Satz von Monero Pool-Proxys bereit

Als nächstes führt das Skript die abgelegte Software mit einer Konfigurationsdatei aus, indem es mehrere Shell-Befehle ausgibt. Dann wird eine periodische Crontab ausgeführt, die darauf abzielt, sich fallen zu lassen und auszuführen.

Eine weitere Analyse des aktiven Monero-Pools, der von der Bedrohung durch Sustes verwendet wird, zeigt, dass der Angreifer einen benutzerdefinierten und privaten Satz von Monero-Pool-Proxys bereitgestellt hat, mit denen sich die folgenden Adressen leichter überwachen und blockieren lassen:

158 [.] 69 [.] 133 [.] 20 auf Port 3333
192 [.] 99 [.] 142 [.] 249 an Port 3333
202 [.] 144 [.] 193 [.] 110 an Port 3333

Die Bedrohung durch Sustes filtert eine Vielzahl spezifischer IP-Adressen, die vermieden werden müssen. Es ist wahrscheinlich, dass es sich um IP-Adressen handelt, die mit Cybersicherheitsunternehmen verknüpft sind, da die Angreifer nicht möchten, dass ihre Bedrohung von Experten zerschnitten wird, oder es handelt sich um IP-Adressen, die mit großen Unternehmen wie Amazon verbunden sind, die gut gesichert sind und beim Versuch, sie auszunutzen, Zeit verschwenden sie ist sinnlos. Diese Bedrohung wird sicherstellen, dass ein angemessener Teil der CPU verbraucht wird, um ihre eigenen Ziele zu erreichen, und kann die Lebensdauer Ihres Geräts verkürzen. Wenn der Sustes Miner auf Ihrem System vorhanden ist, empfiehlt es sich, ihn mit Hilfe eines seriösen Anti-Malware-Tools sofort zu entfernen.