Raziskovalci kibernetske varnosti so odkrili novo različico zlonamerne programske opreme WatchBog, ki temelji na Linuxu in ga širi ‘malware botnet’. Ta zdaj vključuje modul za skeniranje za strežnike RDP Windows, ki so občutljivi na ranljivost BlueKeep.

 

Ranljivost BlueKeep je zelo kritična, zmožna je oddaljeno izvajati kode za RDP storitve Windows. Nepooblaščenemu oddaljenemu napadalcu omogoča popoln nadzor nad ranljivimi sistemi, in sicer s pošiljanjem posebej oblikovanih zahtev po protokolu RDP. In WatchBog jo zna dobro izkoristiti.

 

Popravek je že na voljo, a grožnja ostaja

Čeprav je Microsoft popravek za ranljivost BlueKeep izdal že maja letos (CVE-2019-0708), je več kot 800.000 sistemov Microsoft Windows povezanih v internet, ki popravka še nimajo, zato so še vedno občutljivi na kritično napako.

 

Na srečo, tudi potem ko je veliko posameznikov v varnostni skupnosti začelo razvijati ‘exploit’ za BlueKeep, do danes še ni na voljo nobenega javnega dokazila (PoC) da je ‘exploit’, ki omogoča zlorabo BlueKeep ranljivosti, dejansko na voljo.

 

Vendar pa je podjetje Immunity pred kratkim izdalo posodobljeno različico svojega komercialnega orodja za avtomatizirano oceno ranljivosti in testiranje penetracije (VAPT), CANVAS 7.23, ki vključuje nov modul za izkoriščanje RDP BlueKeep ranljivosti.

Kako deluje?

Zdi se, da napadalci, ki stojijo za WatchBog, uporabljajo svoje ‘botnet’ omrežje za pripravo seznama ranljivih sistemov, ki naj bi jih usmerili v prihodnost, ali za prodajo dobička tretjim ponudnikom, so opozorili raziskovalci iz laboratorija Intezer, ki so odkrili novo različico WatchBog-a.

 

»Vključitev skenerja BlueKeep z Linux botnetom lahko kaže, da WatchBog začenja raziskovati finančne možnosti na drugi platformi«, še dodajajo.

 

BlueKeep skener vključen v WatchBog skenira internetno omrežje in nato strežnikom, pod nadzorom napadalca, predloži seznam novo odkritih gostiteljev RDP kot šestnajstiški podatkovni niz, šifriran z RC4.

 

Po mnenju raziskovalcev je nova različica WatchBog-a v zadnjih dveh mesecih ogrozila več kot 4.500 sistemov Linux.

 

Čeprav WatchBog deluje od konca lanskega leta, napadalci distribuirajo svojo novo različico v novo kampanjo, ki je aktivna od začetka junija letos.

 

Na novo odkrita različica WatchBog-a vključuje nov modul za razširjanje, skupaj z izkoriščanjem nekaterih nedavno odkritih ranljivosti v Linux aplikacijah, ki napadalcem omogočajo hitro iskanje in okužbe več sistemov Linux.

 

WatchBog Linux botnet vsebuje več modulov (opisanih spodaj), ki v zadnjem času izkoriščajo ranljivosti v aplikacijah kot so Exim, Jira, Solr, Jenkins, ThinkPHP in Nexus za okužbo sistemov Linux.

 

Pwn modul:

  • CVE-2019-11581 (Jira)
  • CVE-2019-10149 (Exim)
  • CVE-2019-0192 (Solr)
  • CVE-2018-1000861 (Jenkins)
  • CVE-2019-7238 (Nexus Repository Manager 3)

 

Modul za skeniranje:

  • BlueKeep skener
  • Jira Scanner
  • Solr Scanner

 

Brute Fource modul:

  • CouchDB instance
  • Redis instance

 

Razpršilni modul:

  • Apache ActiveMQ (CVE-2016-3088)
  • Solr (CVE-2019-0192)

 

Ko moduli za skeniranje in ‘brute-force’ napade odkrijejo Linux sistem, kjer se izvaja ranljiva aplikacija, WatchBog na ponorni napravi s spletne strani Pastebin naloži skripto za prenos Monero miner modulov.

 

Zlonamerna skripta se naseli na okuženem sistemu preko ‘crontab-a’ in nato prenese nov razširjevalni modul, ki prihaja v obliki Cython ELF izvršljive datoteke.

Redno posodabljajte sisteme

Če je WatchBog že okužil vaš Linux sistem, lahko ugotovite tako, da na vašem sistemu preverite, ali obstaja datoteka /tmp/.tmplassstgggzzzqpppppp12233333 ali datoteka /tmp/.gooobb.

 

Raziskovalci administratorjem sistemov Linux in Windows priporočajo redno posodabljanje programske opreme in operacijskega sistema proti znanim ranljivostim in s tem preprečijo, da postanejo žrtev napadalnih akcij.

 

Podobnemu scenariju smo bili priča leta 2017 z WannaCry. Naj se ne ponovi. Zavarujete se lahko z izvedbo neodvisnega varnostnega pregleda, ki vam razkrije ranljivosti in analizo stanja vašega informacijskega sistema.

 

Prispevek je pripravil Janez Peršin.