Угрозы дня: XBash - угроза «4 в 1», ботнет Fbot, уязвимость Peekaboo

XBash сочетает в себе функции шифровальщика, криптомайнера, ботнета и сетевого червя

Была обнаружена новая вредоносная программа, получившая название XBash, использующая функции из четырех типов категорий вредоносных программ: шифровальщик, криптомайнер, ботнет и сетевой червь. Подразделение информационной безопасности Cisco Talos назвала данную вредоносную программу "Чемпионом по добычи криптовалюты Monero". Вредоносную программу разработала преступная группа с названием Iron, другое их название Rocke.

Способ работы XBash в операционных системах Windows, заключается в следующем: используется в качестве интернет сканера для обнаружения серверов, использующих уязвимое сетевое хранилище Redis. Далее с помощью одной из функций, используется развертывание криптомайнера на уязвимую систему для дальнейшей добычи криптовалюты Monero. В коде вредоносной программы был обнаружен код сетевого червя, который должен исследовать список портов и служб для получения доступа к сетевым компьютерам. В операционных системах Linux используются другие функции XBash: с помощью уязвимости в серверах, использующих компоненты Hadoop, Redis или ActiveMQ программа осуществляет их захват. Так же с помощью атаки полного перебора (brute force) происходит попытка получения доступа к таким службам как: VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh, and Rsyn. Как видим список огромный, это дает атакующим большую зону атаки и помогает их ботнету расти быстрее, чем аналогичные угрозы. Затем вредоносная программа удаляет следующие базы данных: MySQL, MongoDB, а также PostgreSQ.

В оставленном примечании, злоумышленники требуют выкуп для расшифровки базы данных. Исследователи отмечают, что анализ исходного кода XBash показал, что программа удаляет базы данных, а не шифрует их. Анализ адреса биткойнов, найденный в некоторых заметках о выкупе, показал, что группа злоумышленников получила 0,964 биткойна (~ 6 000 долларов США), пообещав предоставить базу данных, однако данная база данных была удалена, а не зашифрована, соответственно доступ к ней не был предоставлен.

Уязвимость нулевого дня позволяет хакерам получить доступ к камерам видеонаблюдения

От 180 000 до 800 000 IP-камер с программным обеспечением NUUO от фирмы Tenable уязвимы для атаки методом переполнения буфера (buffer overflow). С помощью данной атаки злоумышленники могут получить доступ к камерам видеонаблюдения, отслеживать и манипулировать видеопотоками и устанавливать вредоносные программы. Согласно отчету издания Tenable Research Advisory, критические уязвимости CVE-2018-1149, CVE-2018-1150 получили название Peekaboo, связаны они с программным обеспечением NUUO NVRMini2 для веб-сервера. Патч исправляющий уязвимость должен быть выпущен во вторник. Компания насчитывает более 100 партнеров, включая Sony, Cisco Systems, D-Link и Panasonic. Остается неясным, сколько OEM-партнеров могут использовать уязвимую прошивку.

Новый ботнет удаляет криптомайнер и скрывается в Blockchain DNS

Новый ботнет привлек внимание исследователей безопасности своим безобидным поведением и использованием оригинального канала связи с его командным и управляющим сервером. Ботнет носит название Fbot и распространяется путем сканирования и установки на устройства с открытым портом 5555, которые используется службой ADB (Android Debug Bridge). Ботнет состоит из нескольких функций: (1) деинсталляция криптомайнера "com.ufo.miner", (2) загрузка основной части ботнета, которая поставляется с подробной информацией о контактах с командным и управляющим сервером, (3) самоуничтожение.

Другой интересной особенностью ботнета является его способ связи с серверами. По мнению исследователей, создатель Fbot выбрал для сервера C2 доменное имя, доступное через децентрализованную систему доменных имен (DNS), которая разделяет домены по одноранговой сети и затрудняет их отслеживание и удаление. Доменное имя Fbot для резолвинга использует доменную систему EmerDNS на основе блокчейн-платформы EmerCoin, предлагающей регистрацию доменных имен из пространств имен EMC, COIN, LIB и BAZAR, делая их доступными через свой собственный DNS-сервер. Технические детали Fbot интригуют, и остается неясным, является ли это работой доброжелателя или злоумышленника, стремящегося избавиться от конкуренции. Однако, некоторые из используемых методов могут стать более популярными у киберпреступников, которые хотят защитить свой бизнес.