Noch eine Info für Administratoren von Linux und Windows Servern. Diese sind wohl Ziel einer aktuellen Malware-Kampagne, bei der die RubyMiner Malware installiert werden soll.
Anzeige
Sicherheitsforscher Stefan Tanase von Ixia hat Bleeping Computer gerade über den Fall informiert. Cyber-Kriminelle, die der Gruppe der RubyMiner zugerechnet werden, verwenden ein Webserver-Fingerprinting-Tool namens p0f verwendet, um Linux- und Windows-Server auf veraltete Software zu scannen und zu identifizieren.
Werden ungepatchte Server identifiziert, setzen Angreifer bekannte Exploits ein, um auf die betreffenden Server mit dem RubyMiner zu infizieren. Die Sicherheitsfirmen Check Point und Ixia haben folgende Exploits in der jüngsten Angriffswelle gefunden:
- Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156)
- PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878); siehe hier, hier, hier und hier.
- Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678)
Aus den Exploits ist ersichtlich, dass sowohl Server mit Windows als auch mit Linux im Fokus stehen. Check Point gelang es, die Linux-Angreifer auf Honeypot-Servern zu beobachten.
- Der Exploit Code enthält eine Folge von Shell-Befehlen, die zuerst alle cron-Jobs killen und dann einen neuen, stündlich laufenden cron-Auftrag anlegen.
- Der neue cron Job lädt ein Script aus dem Internet. Dieses ist in robots.txt-Dateien auf verschiedenen Domains versteckt.
- Das Script lädt dann eine modifizierte Version des XMRig Monero-Miners und installiert diese.
Die Sicherheitsanbieter von CheckPoint schreiben hier am 11. Januar, dass 30 % der Webserver weltweit Angriffsversuche erlebt haben. Zu den wichtigsten Zielländern gehören die Vereinigten Staaten, Deutschland, Großbritannien, Norwegen und Schweden, obwohl kein Land unversehrt geblieben ist. Bis zum Zeitpunkt der Veröffentlichung wurden weltweit ca. 700 Server erfolgreich mit dem Miner infiziert. Der Angreifer konnte am ersten Tag nur 540 Dollar schürfen (wobei er die 5% Donation für den Autor des legitimen XMRig-Miners im Code wohl auch entfernt hat). Weitere Details sind in diesem Beitrag bei Bleeping Computer sowie im CheckPoint-Blog-Beitrag nachlesbar.
Anzeige
Anzeige
Keine schöne Sache das,
Hier ein Update:
https://twitter.com/hobbygrafix/status/953273181917384707
Heißt jetzt, dass die Transaktionen des Miners nicht mehr abgewickelt werden oder dass der Miner auch keine Rechenzeit/Stromverbrauch mehr in Anspruch nimmt?
Das heißt das wenn man die Liste nutzt können die Infektionen mit dieser Malware nicht mehr richtig funktionieren da die Kommunikation der Malware nicht mehr möglich ist wenn die Domains und Adressen blockiert sind.
Es ist ratsam wenn eine Infektion festgestellt wird die Malware zu entfernen.
Die Liste kann nur die Kommunikation von solcherlei Malware blockieren, das heißt man ist mit der Liste nicht davor geschützt wenn die Malware z.B. von einem USB Medium kommt, da die Kommunikation der Malware blockiert ist kann sie jedoch nicht mehr so viel Schaden anrichten.
Mit einem Satz, die Liste dient dazu um sich besser vor solcher Malware schützen zu können.
Link zu den #CoinBlockerLists: https://git.io/vFFKT
Diese Listen sind in erster Linie für Admins gedacht, und andere die sich auskennen, eine Ausrichtung auf Privatanwender ist nicht vorgesehen.
Wie sieht eine Infektion auf einem durchschnittlichen betroffenem System aus? Hast du da Erkenntnisse? Ist das im wwwroot eines IIS? Im Temp-Verzeichnis? Gibts ein DAA-Skript (dümmster anzunehmender Admin ;-)), mit welchem sich das blocken lässt? Muss ich nur einen eingehenden/ausgehenden Port blocken, um die Kommunikation zu verhindern?