BlackSquid использует семь эксплоитов для заражения веб-серверов майнерами - «Новости»

Xakep #242. Фаззинг

• Содержание выпуска


• Подписка на «Хакер»

Эксперты Trend Micro обнаружили любопытную угрозу BlackSquid, которая заражает веб-серверы, сетевые диски и съемные носители малварью для добычи криптовалюты Monero. В настоящее время большинство пострадавших были обнаружены в Таиланде и США.

Свои цели вредонос атакует при помощи эксплоитов для веб-приложений: с помощью API GetTickCount BlackSquid ищет случайные активные IP-адреса, а затем применяет против них разные эксплоиты в сочетании с обычным брутфорсом.

Исследователи рассказывают, что в арсенале BlackSquid числятся сразу восемь эксплоитов:  принадлежавшие АНБ EternalBlue и DoublePulsar (применяются для распространения по сети); три эксплоита для разных версий фреймворка ThinkPHP; еще три RCE-эксплоита для проблем  CVE-2014-6287  (затрагивает Rejetto HFS), CVE-2017-12615  (затрагивает  Apache Tomcat), а также CVE-2017-8464 (затрагивает на Windows Shell).

Чтобы не привлекать к себе лишнего внимания, получив доступ к системе, BlackSquid проверяет окружение на признаки любых странностей: ищет виртуальные машины, песочницы, дебаггеры, проверяет наличие определенных имен пользователей, драйверов и так далее. В итоге вредонос начинает работать лишь после того, как убедится, что оказался в безопасной среде.

Если малварь считает, что действовать дальше безопасно, она применяет RCE-уязвимость для получения нужных привилегий и дальнейшего распространения самой себя, одновременно выполняя финальные пейлоады.

Полезные нагрузки BlackSquid — это два компонента майнера XMRig. Оба ориентированы на 64-разрядные машины, и также умеют подгружать дополнительные модули для майнинга криптовалюты на видеокартах Nvidia и AMD (если таковые были обнаружены).

По мнению экспертов, пока BlackSquid находится в разработке, а его авторы тестируют различные типы и векторы атак. Исследователи предупреждают, что в теории BlackSquid весьма опасен, так как может использоваться не только для майнинга Monero, но и для хищения проприетарных данных, бесцельной траты мощностей железа и софта, а также для сложных атак на организации (в том числе для атак из сетей уже зараженных компаний на другие).