Sadržaj objave
ZDNET -ovi ključni poduhvat
- Dripdropper iskorištava staru sigurnosnu rupu poslužitelja.
- Nakon infekcije, Dripdropper zakrči samu rupu.
- Jednostavna patch disciplina mogla je zaustaviti iskorištavanje.
Nabavite više detaljne ZDNET tehnološke pokrivenosti: Dodajte nas kao preferirani Google izvor na kromiranim i krom preglednicima.
Sigurnosna tvrtka Crveni kanarinac otkrio je napadača koji iskorištava Apache ActiveMQpopularni posrednik s porukama otvorenog koda, sigurnosna rupa CVE-2023-46604za postizanje trajnog pristupa na Cloud Linux sustavima. Zasad, toliko zlobnih kao i obično. Tamo gdje Dripdropper mijenja igru jest da, jednom kad je ulazi, zakrpa sigurnosnu rupu iza sebe.
Također: Najbolje VPN usluge (i kako odabrati pravu za vas)
Ova neobična, ali ne i nečuvena taktika, ima dvije svrhe. Prvo je zaključati druge programe zlonamjernog softvera. Drugi je maskirati njegovu prisutnost, tako da propustite uočiti njegovu zabludu. “Neobično je vidjeti kako protivnici” popravljaju “same sustave koje su kompromitirali, ali ova strategija osigurava da njihov pristup ostaje ekskluzivno i otežava početnu eksploataciju”, rekao je tim Crvenog Kanara.
Prema Red Canaryju, Dripdropper već neko vrijeme radi. Ono što je posebno neugodno u ovoj situaciji je da je sigurnosna rupa u Java OpenWire protokol je zakrpljen gotovo dvije godine. Zašto bi itko pokrenuo ActiveMQ instancu koja ima tako ozbiljnu grešku – Apache Software Foundation dao mu je maksimalnu opasnost od 10 na ljestvici zajedničkog sustava bodovanja ranjivosti (CVSS) – izvan mene je.
Također: Cisco zakrpa kritična sigurnosna rupa u centru za upravljanje vatrozidom – Zakonite sada
Nepotrebno je reći da je jednom, Dripdropper implementira okvire naredbe i kontrole (C2) kao što je Klizač i Cloudflare tuneli za dugoročnu kontrolu. Zatim se koriste za promjenu konfiguracijskih datoteka SSH SSH kako bi se omogućile korijenske prijave, što je napadaču omogućilo snagu da radi sve što želi s onim što je bio vaš poslužitelj.
Prema ovim novim postavkama, napadač napokon pada i izvršava Dripdropper. Ovo je šifrirano Pinstaller ELF binarno zahtijeva lozinku za pokretanje. Ovaj pristup otežava obrnutu inženjeringu. Sam Dripdropper komunicira s Dropbox računom putem tvrdokodiranog tokena nositelja kako bi započeo svoj sljedeći korak.
Također: ovo zloglasno mjesto za pretraživanje ljudi vraća se nakon što je procurio 3 milijarde zapisa – kako ukloniti svoje podatke iz nje što prije
Obično DropDropper tada raspoređuje dvije sekundarne zlonamjerne datoteke:
- Prvo, čije se ime i lokacija mijenjaju na temelju argumenata izvršenja, može nadzirati procese ili kontaktirati Dropbox za daljnje upute i postavlja se da se uporno pokreće putem Cron poslova.
- Drugi je slučajna datoteka s osam znakova, koja se također povezuje s Dropboxom i podešavanje SSH postavki kako bi se omogućilo daljnji prikriveni pristup putem korisničkog računa ‘igre’.
Usvajanje javne pohrane oblaka za taktike zapovjednih i kontrolnih ogledala viđene u visokim obiteljima zlonamjernog softvera, poput DIMNIČAR i Mustanga panda. Kako bi učvrstili njihov stisak, za njihov konačni potez, napadači preuzmu legitimne datoteke ActiveMQ JAR iz Apacheovog Maven skladišta, prepisivanje ranjivih originala.
Nakon tog koraka, napadač može postaviti vaš poslužitelj na minu kripto valute, dublje ući u vašu mrežu za potencijalno vrijedan sadržaj ili učiniti sve što žele.
Također: Microsoft zakrpa više od 100 nedostataka u sustavu Windows – Ažurirajte svoje računalo odmah
Dakle, što možete učiniti u vezi s ovim problemom? Prvo morate pokrenuti ažurni i zakrpljeni ActiveMQ.
Morate i stvrdnjavati svoje sustave domaćina i zaposliti alate temeljene na politici, poput Prozračan ili Lutka, Da biste odmah zakrpali sustave, uz pažljivu provjeru i dokumentaciju o porijeklu zakrpa. Uostalom, samo zato što izvodite ažurni softver ne znači da vas neki drugi program zlonamjernog softvera nije zakrpio da zloupotrebljavate svoje sustave u miru.
Ostali koraci uključuju:
- Onemogućite root ssh prijave.
- Pokrenite web usluge pod računima koji nisu korijen.
- Ograničite pristup mreži pomoću pravila za ulazak, vatrozida i VPN -a.
- Provedite sveobuhvatnu evidentiranje za oblačne aktivnosti kako biste pomogli otkrivanje i forenzičke istrage.
Povezani sadržaji
Neke značajke Android treba više ljubavi
AI je već dio sustava Linuxa – sviđalo se to programerima ili ne
Anthropic je upravo analizirao 700 000 Claude razgovora – i otkrio da njegov AI ima vlastiti moralni kodeks
Amazon je navodno “uklonio” svoj odjel za videoigre kao dio otpuštanja 14.000 radnih mjesta u cijeloj tvrtki
EPA će vjerojatno crijevni tim koji proučava zdravstvene rizike od kemikalija
LightSpeed, Neos proširuju povezanost diljem Midlandsa, istočne Engleske
