Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149)



    Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149).

    Новая волна криптомайнера Sustes теперь использует для заражений июньскую уязвимость в почтовом сервере Exim. Начиная с 11 августа наши сетевые сенсоры PT Network Attack Discovery обнаруживают во входящем сетевом трафике попытки эксплуатации почтовых серверов.

    Сканирование происходит с адреса 154.16.67[.]133, и команда в поле RCPT TO ведет к загрузке вредоносного bash-скрипта по адресу hxxp://154.16.67[.]136/main1. Цепочка скриптов приводит к установке на хост XMR-майнера и добавлению его в crontab. Скрипт добавляет свой публичный SSH-ключ в список authorized_keys текущего пользователя, что позволит злоумышленникам в дальнейшем получить беспарольный SSH-доступ к машине.

    Кроме того, Sustes пытается распространиться на другие хосты из списка known_hosts по SSH; при этом ожидается, что подключение к ним происходит автоматически по публичному ключу. Процесс заражения повторяется вновь на доступных SSH-хостах.



    Есть и еще способ распространения. Sustes исполняет цепочку Python-скриптов, последний из которых — hxxp://154.16.67[.]135/src/sc — содержит сканер случайных Redis-серверов, который также добавляет себя в crontab для автозапуска и свой ключ в список доверенных SSH-ключей на уязвимых Redis-серверах:

    x = s2.connect_ex((self.host, 6379))
    …
    stt2=chkdir(s2, '/etc/cron.d')
    rs=rd(s2, 'config set dbfilename crontab\r\n')
    rs=rd(s2, 'config set dbfilename authorized_keys\r\n')
    stt3=chkdir(s2, '/root/.ssh')

    Избавиться от вредоноса Sustes довольно просто: удалите вредоносные файлы и скрипты с именами из списка ниже, а также очистите файлы crontab и known_hosts от вредоносных записей. Для заражения Sustes эксплуатирует и другие уязвимости, например уязвимость в Hadoop YARN ResourceManager, или использует брутфорс учетных записей.

    IoCs:

    Filenames:


    /etc/cron.hourly/oanacroner1
    /etc/cron.hourly/cronlog
    /etc/cron.daily/cronlog
    /etc/cron.monthly/cronlog
    sustse
    .ntp
    kthrotlds
    npt
    wc.conf

    Urls:


    hxxp://154.16.67.135/src/ldm
    hxxp://154.16.67.135/src/sc
    hxxp://107.174.47.156/mr.sh
    hxxp://107.174.47.156/2mr.sh
    hxxp://107.174.47.156/wc.conf
    hxxp://107.174.47.156/11
    hxxp://154.16.67.136/mr.sh
    hxxp://154.16.67.136/wc.conf

    Custom Monero Pools


    185.161.70.34:3333
    154.16.67.133:80
    205.185.122.99:3333

    Wallet


    4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

    SSH Public key


    AAAAB3NzaC1yc2EAAAADAQABAAAsdBAQC1Sdr0tIILsd8yPhKTLzVMnRKj1zzGqtR4tKpM2bfBEx AHyvBL8jDZDJ6fuVwEB aZ8bl/pA5qhFWRRWhONLnLN9RWFx/880msXITwOXjCT3Qa6VpAFPPMazJpbppIg LTkbOEjdDHvdZ8RhEt7tTXc2DoTDcs73EeepZbJmDFP8TCY7hwgLi0XcG8YHkDFoKFUhvSHPkzAsQd9hyOWaI1taLX2VZHAk8rOaYqaRG3URWH3hZvk8Hcgggm2q/IQQa9VLlX4cSM4SifM/ZNbLYAJhH1x3ZgscliZVmjB55wZWRL5oOZztOKJT2oczUuhDHM1qoUJjnxopqtZ5DrA76WH

    MD5


    95e2f6dc10f2bc9eecb5e29e70e29a93
    235ff76c1cbe4c864809f9db9a9c0c06
    e3363762b3ce5a94105cea3df4291ed4
    e4acd85686ccebc595af8c3457070993
    885beef745b1ba1eba962c8b1556620d
    83d502512326554037516626dd8ef972

    Файлы скриптов:
    Main1 pastebin.com/a2rgcgt3
    Main1 py snippet pastebin.com/Yw2w6J9E
    src/sc pastebin.com/9UPRKYqy
    src/ldm pastebin.com/TkjnzPnW
    Positive Technologies
    167,99
    Компания
    Поделиться публикацией

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое