Sinira ng Cybersecurity Branch ng AT&T ang Banta ng Crypto Miner sa Mga Email Server

Ang Alien Labs ng AT&T ay inilubog ang mga daliri nito sa pagsusuri ng malware ng cryptomining sa isang bagong teknolohikal na breakdown kung paano nakapasok ang isang Monero minero sa mga network.

Inilabas noong Huwebes, ang ulat ng security researcher na si Fernando Domínguez ay nagbibigay ng step-by-step na walkthrough kung paano nakakahawa at kumakalat ang ONE cryptojacker sa mga mahihinang Exim, Confluence at WebLogic server, na nag-i-install ng malisyosong code na mina ng Monero sa pamamagitan ng proxy. Ang mga Exim server ay kumakatawan sa higit sa kalahati ng lahat ng mga email server, ayon sa ZDNet.

Ang worm ay unang nag-inject ng mga target na server ng isang BASH script na sumusuri, at pumapatay, sa mga nakikipagkumpitensyang proseso ng pagmimina bago tangkaing makalusot sa iba pang kilalang mga makina sa network. Crypto-miners madalas pumapatay sa mga nakikipagkumpitensyang minero kapag na-infect nila ang isang system, at para sa ONE napakasimpleng dahilan: Kung mas maraming CPU ang iba't ibang proseso, mas kaunti ang natitira para sa iba, ayon sa ulat.

Pagkatapos ay ida-download ng mga nalabag na server ang payload ng script: isang “omelette” (bilang tawag sa na-download na variable ng executable file) batay sa open-source Monero minero na tinatawag na XMRig.

Available sa GitHub, ang XMRig ay isang paboritong hacker ng malware at isang karaniwang building block sa arsenal ng mga cryptojacker. Ito ay na-retrofit sa Mga minero ng MacBook, kumalat sa kabuuan 500,000 na mga computer at, noong 2017, naging napakapopular na ang mga ulat ng malisyosong pagmimina lumampas sa 400 porsyento.

Ginagawa ng binagong minero na ito ang negosyo nito sa pamamagitan ng proxy, ayon sa AT&T Alien Labs. Dahil dito, halos imposible ang pagsubaybay sa mga pondo, o maging ang pagkilala sa address ng wallet, nang walang access sa proxy server.

Mahirap iprito ang omelette na ito. Kapag nag-download ito, nagda-download din ang isa pang file na tinatawag na "sesame" - kapareho ng orihinal na script ng BASH. Ito ang susi sa pagtitiyaga ng worm: sumabit ito sa isang cron job na may limang minutong agwat, na nagbibigay-daan dito na makayanan ang mga pagtatangka ng pagpatay at pag-shutdown ng system. Maaari pa itong awtomatikong mag-update sa mga bagong bersyon.

Ang AT&T Alien Labs ay nagsimulang sumunod sa worm noong Hunyo 2019. Dati na itong pinag-aralan ng cloud security analysis firm na Lacework noong Hulyo.

T alam ng mga mananaliksik kung gaano kalawak ang hindi pinangalanang minero ng Monero . Ang ulat ng Alien Labs ay umamin na "mahirap tantiyahin kung gaano karaming kita ang iniulat ng kampanyang ito sa aktor ng pagbabanta," ngunit ang sabi ng kampanya ay "hindi masyadong malaki."

Gayunpaman, nagsisilbi itong paalala sa lahat ng mga operator ng server: Palaging KEEP naka-patch ang iyong software at napapanahon.