Исследователи компании Trend Micro обнаружили вредоноса SHELLBIND, который распространяется посредством эксплуатации критической уязвимости в Samba, обнаруженной и исправленной в мае 2017 года. Специалисты пишут, что патчи для бага, получившего название SambaCry или EternalRed, по-прежнему выпустили далеко не все производители, чем и пользуются авторы SHELLBIND.
Напомню, что уязвимость, получившая идентификатор CVE-2017-7494, существовала в коде почти семь лет, с 2010 года, и только релиз версий 4.6.4, 4.5.10 и 4.4.14 устранил проблему. Согласно официальному предупреждению разработчиков, уязвимость позволяла осуществить загрузку разделяемой библиотеки в хранилище, при условии, что запись разрешена. В итоге сервер загружал эту библиотеку и выполнял, что вело прямиком к удаленному выполнению произвольного кода и большим проблемам.
SHELLBIND – не первая малварь, взявшая SambaCry на вооружение. К примеру, ранее исследователи уже обнаруживали кириптовалютный майнер EternalMiner, который так же использовал эксплоит для данного бага.
Специалисты Trend Micro пишут, что SHELLBIND – это простой бэкдор, позволяющий атакующим открыть на зараженном устройстве удаленный шелл. Малварь изменяет правила локального брандмауэра и открывает TCP порт 61422, создавая возможность подключения к девайсу.
О новых заражениях SHELLBIND отчитывается, пингуя 80 порт сервера, расположенного по адресу 169[.]239[.]128[.]123. Операторы вредоноса извлекают IP-адреса инфицированных девайсов из логов, а затем вручную подключатся к каждому через порт 61422. При этом доступ к шеллу SHELLBIND защищен паролем, жестко прописанным в коде: Q8pGZFS7N1MObJHf.
В отличие от EternalMiner, который атаковал преимущественно Linux-серверы, жертвами SHELLBIND становятся в основном IoT-устройства: NAS и другие девайсы, использующие уязвимые версии Samba.
Исходя из поведения малвари, исследователи полагают, что основная цель создателей SHELLBIND – хищение данных, вероятно, с целью их последующей перепродажи или вымогательства.