Mehrgerätelizenzen (Mengenrabatte)

Region ändern

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Botnets Sysrv-hallo Botnet

Sysrv-hallo Botnet

Von Mezo in Botnets
Übersetzen Sie in:
Deutsch

Das Sysrv-hello-Botnetz ist ein kürzlich entdecktes Botnetz, das nach anfälligen Linux- und Windows-Unternehmensservern sucht, die zu seinen Crypto-Mining-Slave-Computern hinzugefügt werden können. Zu den Opfern der Bedrohung zählen Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype und Apache Struts. Wie die meisten Crypto-Mining-Botnets stellt Sysrv-hello auch eine Version des XMRig- Miners bereit, die die Hardwareressourcen des infizierten Systems entführt, um Monero-Münzen zu generieren.

Obwohl es sich um eine relativ neue Bedrohung handelt, wurden im Sysrv-hallo-Botnetz bereits einige wichtige Aktualisierungen und Änderungen vorgenommen. Anfänglich war die Bedrohung modular aufgebaut und bestand aus separaten Komponenten für Bergbau und Ausbreitung (Wurm). Die neuesten Beispiele enthalten jedoch eine einzelne Binärdatei, die beide Funktionen ausführen kann.

Anfängliche Kompromissvektoren

Die von Sysrv-hello ausgenutzten Sicherheitslücken, um sich selbst zu verbreiten, wurden ebenfalls aktualisiert. Die neuesten Varianten der Bedrohung basieren auf sechs bestimmten Sicherheitslücken, um ersten Zugriff auf die Zielsysteme zu erhalten:

  • Mongo Express RCE (CVE-2019-10758)
  • XML-RPC (CVE-2017-11610)
  • Saltstack RCE (CVE-2020-16846)
  • Drupal Ajax RCE (CVE-2018-7600)
  • ThinkPHP RCE (kein CVE)
  • XXL-JOB Unauth RCE (kein CVE)

Nachdem Sysrv-hello auf dem Server Fuß gefasst hat, tötet es alle konkurrierenden Crypto-Miner, falls vorhanden, initiiert einen eigenen Miner und verteilt sich über das gefährdete Netzwerk. Um sich seitlich zu bewegen, sammelt das Botnetz private SSH-Schlüssel von den infizierten Servern und verwendet sie, um Brute-Force-Angriffe zu starten.

Infosec-Forschern gelang es, eine der Krypto-Geldbörsen zu identifizieren, in denen die vom Sysrv-hello-Botnetz generierten Monero-Münzen aufbewahrt wurden. Obwohl die dort gespeicherte Summe nicht so beeindruckend ist - etwas mehr als 12 XMR (Monero) oder etwa 4000 US-Dollar - sollte beachtet werden, dass Crypto-Mining-Botnets normalerweise mehrere solcher Geldbörsen verwenden, sodass die Gesamtgewinne der Hacker erheblich höher sein könnten.

Im Trend

Am häufigsten gesehen

Wird geladen...