Це не ransomware, але в будь-якому випадку може «захопити» Ваш сервер



Цього тижня ми розглянемо «вимагача» (ransomware), який насправді не є таким. І навіть не є шкідливою програмою. Але він здатний «захопити» Ваш сервер.

Кілька днів тому ми бачили типову RDP-атаку через віддалений робочий стіл, яка навела нас на думку, що вона була подібна до тієї атаці, про яку ми розповідали кілька місяців тому і яку кібер-злочинці використовували для зараження пристроїв з допомогою шифровальщика. Але ми сильно помилялися.

Насамперед, тому, що замість шифрування даних цей «шкідник» блокував робочий стіл з допомогою пароля, який жертва не знає. По-друге, він не вимагає викупу (!) в обмін на ключ або пароль, а скоріше прагне як можна довше утримувати пристрій в закритому вигляді, щоб як можна довше використовувати його для майнінг биткоинов. І, по-третє, він не використовують шкідливі програми як такі.

Після того, як хакери отримали доступ до Вашої машини за допомогою методу «brute force» (наприклад, в розглянутому випадку сервер отримував 900 спроб в день), хакери копіюють файл під назвою BySH01.zip. Він, у свою чергу, містить наступні файли:

1. BySH01.exe (виконуваний файл через AutoIt)
2. 7za.exe (легальна програма: добре відома безкоштовна утиліта 7zip)
3. tcping.exe (легальна програма: утиліта для виконання TCP-пінгів)
4. MW_C.7z (заархівований з паролем файл), який містить:
  • Додаток – легальна програма для «видобутку» биткионов
  • Додаток – легальна програма для блокування робочого столу Windows
Хакер запускає файл BySH01.exe і з'являється наступний інтерфейс:


По суті, додаток для майнінг биткоинов використовує цей інтерфейс для налаштування того, скільки використовувати ядер, на який гаманець відправляти биткоины та ін. Після того, як потрібні налаштування обрані, хакер натискає на кнопку «Встановити» для встановлення та запуску програми з майнингу биткоинов. Додаток називається CryptoNight, і воно розроблено для майнінг биткоинов з використанням процесорів.

Потім він натискає на кнопку Локер, яка встановлює і запускає додаток з блокування робочого столу. Це комерційне Desktop Lock Express 2, змінене тільки таким чином, що інформація, яку у властивостях файлу, точно така ж, як системного файлу svchost.exe. Нарешті, він видаляє всі файли, використані для атаки, за винятком CryptoNight і Desktop Lock Express 2.


Desktop Lock Express 2: додаток, що використовується хакерами.

Ми виявили і заблокували кілька атак в різних країнах. Подібні приклади ще раз показують, як кібер-злочинці використовують переваги слабких паролів, які можна підібрати за допомогою методу «brute force» за певний період часу. Більше не потрібно шкідливої програми, щоб отримати доступ до системи, так що зверніть увагу на те, щоб використовувати складний пароль і захиститися від небажаних відвідувачів.

Поради для системних адміністраторів

На додаток до використання рішень, подібних Adaptive Defense, які виявляють і запобігають такий тип атак, наведемо кілька порад для всіх сисадмінів, які змушені відкривати RDP:

  • Зробіть налаштування таким чином, щоб використовувати нестандартний порт. 99,99% зловмисників відстежують всі Інтернет-з'єднання TCP і UDP-порти 3389. Вони можуть відстежувати і інші, але їм не обов'язково це робити, оскільки більшість сисадмінів не змінюють ці порти. Ті ж, хто робить це в поєднанні зі складними паролями, піклуються про безпеку корпоративної мережі, щоб хакерам було складніше отримати реєстраційні дані в розумні терміни з допомогою методу «brute force».
  • Відстежуйте невдалі спроби RDP-з'єднання. Таким чином, можна досить легко обчислити атаки типу Brute force, оскільки в цьому випадку хакери використовують автоматизовані системи, які здійснюють нові спроби підключення кожні кілька секунд.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.