Это не ransomware, но в любом случае может «захватить» Ваш сервер

Original author: Panda Security
  • Translation


На этой неделе мы рассмотрим «вымогателя» (ransomware), который на самом деле не является таковым. И даже не является вредоносной программой. Но он способен «захватить» Ваш сервер.

Несколько дней назад мы видели типичную RDP-атаку через удаленный рабочий стол, которая навела нас на мысль, что она была подобна той атаке, о которой мы рассказывали несколько месяцев назад и которую кибер-преступники использовали для заражения устройств с помощью шифровальщика. Но мы сильно заблуждались.

Прежде всего, потому, что вместо шифрования данных этот «зловред» блокировал рабочий стол с помощью пароля, который жертва не знает. Во-вторых, он не требует выкупа (!) в обмен на ключ или пароль, а скорее стремится как можно дольше удерживать устройство в заблокированном виде, чтобы как можно дольше использовать его для майнинга биткоинов. И, в-третьих, он не использует вредоносные программы как таковые.

После того как хакеры получили доступ к Вашей машине с помощью метода «brute force» (например, в рассматриваемом случае сервер получал 900 попыток в день), хакеры копируют файл под названием BySH01.zip. Он, в свою очередь, содержит следующие файлы:

1. BySH01.exe (исполняемый файл через AutoIt)
2. 7za.exe (легальная программа: хорошо известная бесплатная утилита 7zip)
3. tcping.exe (легальная программа: утилита для выполнения TCP-пингов)
4. MW_C.7z (заархивированный с паролем файл), который содержит:

  • Приложение – легальная программа для «добычи» биткионов
  • Приложение – легальная программа для блокировки рабочего стола Windows

Хакер запускает файл BySH01.exe, и появляется следующий интерфейс:



По сути, приложение для майнинга биткоинов использует этот интерфейс для настройки того, сколько использовать ядер, на какой кошелек отправлять биткоины и пр. После того, как нужные настройки выбраны, хакер нажимает на кнопку «Установить» для установки и запуска приложения по майнингу биткоинов. Приложение называется CryptoNight, и оно разработано для майнинга биткоинов с использованием процессоров.

Затем он нажимает на кнопку Локер, которая устанавливает и запускает приложение по блокировке рабочего стола. Это коммерческое приложение Desktop Lock Express 2, измененное только таким образом, что информация, показываемая в свойствах файла, точно такая же, как у системного файла svchost.exe. Наконец, он удаляет все файлы, использованные для атаки, за исключением CryptoNight и Desktop Lock Express 2.


Desktop Lock Express 2: приложение, используемое хакерами.

Мы обнаружили и заблокировали несколько атак в различных странах. Подобные примеры еще раз показывают, как кибер-преступники используют преимущества слабых паролей, которые можно подобрать с помощью метода «brute force» за определенный период времени. Больше не требуется вредоносной программы, чтобы получить доступ к системе, так что обратите внимание на то, чтобы использовать сложный пароль и защититься от нежелательных посетителей.

Советы для системных администраторов

В дополнение к использованию решений, подобных Adaptive Defense, которые обнаруживают и предотвращают такой тип атак, приведем пару советов для всех сисадминов, которые вынуждены открывать RDP:

  • Сделайте настройки таким образом, чтобы использовать нестандартный порт. 99,99% злоумышленников отслеживают все Интернет-соединения на TCP и UDP-портах 3389. Они могут отслеживать и другие, но им не обязательно это делать, т.к. большинство сисадминов не меняют эти порты. Те же, кто делает это в сочетании со сложными паролями, заботятся о безопасности корпоративной сети, чтобы хакерам было сложнее заполучить регистрационные данные в разумные сроки с помощью метода «brute force».

  • Отслеживайте неудачные попытки RDP-соединения. Таким образом, можно достаточно легко вычислить атаки типа Brute force, т.к. в этом случае хакеры используют автоматизированные системы, которые осуществляют новые попытки подключения каждые несколько секунд.
Panda Security в России и СНГ
77.67
Облачные решения безопасности, антивирусы
Share post

Comments 16

    0
    использовать нестандартный порт
    В дополнение к этому стоит создать дополнительный прослушиватель для соединений снаружи и делать проброс со шлюза на него. Так можно более гибко настроить права доступа по RDP внутри сети и снаружи.
      0
      Кто вообще открывает РДП вовне напрямую? Если в организации до 500 пользователей — каждому свой порт и диапазон айпишников, для которых разрешен вход извне на этот порт. Как правило провайдеры держат статику (стараются держать один IP за пользователем) ну, в крайнем случае, он чуток меняется в пределах подсети.
        0
        А для тех, кто постоянно по командировкам летает, какое решение предложите?
          +1
          А для тех, кто постоянно по командировкам летает, какое решение предложите?

          Пожалуй, самый оптимальный вариант — это настроить VPN-доступ.
            0
            Ну вообще, в идеале — это должен быть первый совет по настройке удалённого доступа. А дальше уже всё остальное — сложные пароли, разрешённый доступ только тем учёткам, каким надо и тому подобное.
              0
              Альтернатива vpn — ssh шлюз. Пользователь с помощью того же Putty запускает сессию до удаленного шлюза. И конектится на localhost:port_для проброса. А ssh шлюз пересылает уже нужному внутреннему rdp на 3398. И не надо городить acl для внешних пользователей. Если хочется повысить безопасноть, то надо раздать пользователям ключи и отключить парольный/интерактивный вход на шлюз.
              Если есть cygwin с openssh, то и вообще все просто.
              ssh -f -N -L localport:remote_rdp_host_inside_network:3389 user@ip_ssh_gate
              что-то типа
              ssh -f -N -L 33389:10.10.10.10:3389 user@ssh.company.name
        0
        Приложение называется CryptoNight, и оно разработано для майнинга биткоинов с использованием процессоров
        Я три раза перечитал, но глаза не врут. CryptoNight — PoW алгоритм, применяющийся в криптовалютах семейства CryptoNote, который позволяет относительно выгодно майнить на CPU. Самая популярная из них — Monero, которая еще XMR

        А майнить биткоины на CPU — такая себе затея
          0
          В сети полно мест, где можно купить доступ к вывешенным наружу серверам. Когда есть доступ к одному серверу — не выгодно, а когда таких серверов десятки-сотни? А если повезёт и там будет какой-никакой графический адаптер? Стали бы люди подобным заниматься, не будь это выгодно.
            +1
            а когда таких серверов десятки-сотни? А если повезёт и там будет какой-никакой графический адаптер?
            Все равно не выгодно. Можете прикинуть на калькуляторе, хотя это уже сто раз делали.

            Стали бы люди подобным заниматься, не будь это выгодно.
            Этим и не занимаются. Уже давно майнят тот же XMR и прочие CPU-frendly валюты, как и авторы недовируса в этой статье
              0
              Недавно на хабре была статья про биткоин и хэш-рейты:
              общий 2.300.000.000.000 MH/s
              GPU 2000 MH/s
              CPU 140 MH/s
              Общая производительность больше в миллиард раз. Чтобы результат был заметен, нужны миллионы серверов.
                0
                может и миллионы, но тут важна концепция тк судя по интерфейсу это наколенная поделка школьника… на полностью ЛЕГАЛЬНОМ и Не опасном софте, те нагрузка у этой системы может быть любой вплоть до полезной(SETA, «Folding» etc)
                  0
                  А то, что она блокирует доступ пользователя в расчет не берется?
                    0
                    «нет конечно же....» — я не спорю что оно вредоносное, просто интересная поделка.
            0
            Вредоносная программа, программа которая устанавливается без разрешения или выполняет неразрешенные действия. Соответственно философский вопрос — считать ли незаконно (без уведомления) поставленные приложения вредоносными (ага, и про решения суда тоже).

            В любом случае система защиты должна блокировать установку неразрешенного ПО, что означает требование запрета установки для данного пользователя или использования белых списков
              0
              как блокировать если «пользователь» сам нажал все эти кнопки? поэтому и даются рекомендации об увеличении степени защиты чуть более
                0
                В данном случае был брутфорс пароля, никто на кнопки не нажимал

            Only users with full accounts can post comments. Log in, please.