Хакер #305. Многошаговые SQL-инъекции
Аналитики компании «Доктор Веб» обнаружили в серверных приложениях Cleverence Mobile SMARTS Server уязвимость нулевого дня, с помощью которой злоумышленники майнят криптовалюту.
Приложения семейства Cleverence Mobile SMARTS Server созданы для автоматизации магазинов, складов, различных учреждений и производств. В конце июля 2017 года исследователи обнаружили критическую уязвимость в одном из компонентов Cleverence Mobile SMARTS Server, с использованием которой злоумышленники получают несанкционированный доступ к серверам и устанавливают на них вредоносов семейства Trojan.BtcMine, предназначенных для добычи криптовалют. Об уязвимости незамедлительно сообщили разработчикам программного комплекса, и в настоящий момент проблема уже устранена.
Специалисты рассказывают, что изначально преступники использовали несколько версий майнера, получивших идентификаторы Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. Заражение осуществлялось следующим образом. На сервер, на котором работает ПО Cleverence Mobile SMARTS Server, направляли сформированный специальным образом запрос, который приводил к выполнению содержавшейся в нем команды. Так злоумышленники создавали в системе нового пользователя с административными привилегиями и получали от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях, с помощью утилиты Process Hacker, преступники завершали процессы работающих на сервере антивирусов. Установив контроль над системой, преступники устанавливали майнера.
Хотя разработчики Cleverence Mobile SMARTS Server своевременно выпустили патч для обнаруженной специалистами уязвимости, «Доктор Веб» сообщает, что многие администраторы серверов не торопятся с его установкой, чем до сих пор пользуются злоумышленники. На взломанные через эксплуатацию бага серверы по-прежнему устанавливают майнеры, при этом постоянно модифицируя их версии. Так, со второй половины ноября 2017 года злоумышленники начали использовать принципиально новый троян, который совершенствуют по сей день. Он получил идентификатор Trojan.BtcMine.1978 и предназначен для добычи криптовалют Monero (XMR) и Aeon (AEON).
Данный майнер запускается в качестве критически системного процесса с отображаемым именем «Plug-and-Play Service». При попытке завершить этот процесс, Windows аварийно прекращает работу и демонстрирует BSOD. Равно как и его предшественники, троян старается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender. Затем майнер ищет запущенные на атакуемом компьютере процессы антивирусных программ. В случае успеха он расшифровывает, сохраняет на диск и запускает драйвер, с помощью которого пытается завершить эти процессы.
Получив из собственной конфигурации список портов, вредонос ищет в сетевом окружении роутер. Затем, с помощью протокола UPnP, перенаправляет TCP-порт роутера на порты из полученного списка и подключается к ним в ожидании соединений по протоколу HTTP. Необходимые для своей работы настройки малварь хранит в системном реестре Windows.
Список IP-адресов управляющих серверов, которые тот проверяет с целью обнаружить активный, хранится в теле майнера. Троян настраивает на зараженном устройстве прокси-серверы, которые будут использоваться для добычи криптовалют. По команде злоумышленников малварь запускает оболочку PowerShell и перенаправляет ее ввод-вывод на подключающегося к скомпрометированному узлу удаленного пользователя. Это позволяет злоумышленникам выполнять на зараженном сервере различные команды.
Выполнив перечисленные действия, троян встраивает во все запущенные процессы модуль, предназначенный для добычи криптовалют. Первый процесс, в котором этот модуль начинает работу, и будет использоваться для майнинга.