未加星标

JungleSec勒索软件通过IPMI远程控制台感染受害者

字体大小 | |
[系统(linux) 所属分类 系统(linux) | 发布者 店小二05 | 时间 2019 | 作者 红领巾 ] 0人收藏点击收藏

JungleSec勒索软件通过IPMI远程控制台感染受害者

自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。

在11月初的报道中,受害者使用的操作系统有windowslinux和Mac,但报道并未透露具体感染过程。自那以后,BleepingComputer已与多个受害者联系,他们的Linux服务器均感染了JungleSec勒索软件。根据反馈,这些服务器均通过不安全的IPMI设备感染。

IPMI是内置于服务器主板中的管理接口(或作为附加卡安装),允许管理员远程管理计算机、打开和关闭计算机电源、获取系统信息以及访问提供远程控制台访问权限的KVM。

这对于管理服务器非常有用,尤其是在租用其他公司服务器时。但是,如果未正确配置IPMI接口,则可能允许攻击者使用默认凭据远程连接并控制服务器。

通过IPMI安装JungleSec

在和两名受害者的对话中,BleepingComputer发现攻击者通过服务器的IPMI接口安装了JungleSec勒索软件。一名受害者的IPMI接口使用了默认的制造商密码。另一位受害者的管理员用户已被禁用,但攻击者仍然通过漏洞获取到了访问权限。

一旦获取到对服务器的访问权限(在这两起中都是Linux系统),攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式,他们就下载并编译ccrypt加密程序( ccrypt encryption program )。

根据一名受害者发布的Twitter( posted ),一旦下载了ccrypt,攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于:

/usr/local/bin/ccrypt -e -f -S <a href="/cdn-cgi/l/email-protection" data-cfemail="a5cfd0cbc2c9c0d6c0c6e5c4cbcacbdcc8cad0d6d6d5c0c0c6cdc6cac8">[email protected]</a> -s -r -l /var/lib

输入此命令将提示攻击者输入密码,该密码随后将用于加密文件。

其中一名受害者 Alex Negulescu 告诉BleepingComputer,攻击者会在执行sudo命令时显示一条消息,该命令提示受害者应该阅读ENCRYPTED.md文件。

ENCRYPTED.md文件是JungleSec的勒索信息,如下所示。此赎金便条包含联系攻击者[emailprotected]的说明,并将0.3比特币发送到随附的比特币地址以便恢复文件。
JungleSec勒索软件通过IPMI远程控制台感染受害者

JungleSec赎金便条

另一位名为 pupper 的受害者告诉BleepingComputer,攻击者还搜索并加载虚拟机磁盘,但没能正确加密它们。

他们加载了所有qemu / kvm磁盘,因此他们也可以加密VM中的所有文件。然而,黑客没能成功感染。

Pupper还告诉我们,攻击者留下了一个侦听TCP端口64321的后门,并创建了一个允许访问此端口的防火墙规则。目前尚不清楚安装了什么程序作为后门程序。

-A INPUT -p tcp -m tcp --dport 64321 -j ACCEPT

最后,有报告称多个受害者已支付赎金,但没有收到攻击者的回复,也没能恢复数据。一般的规则是不支付赎金,因为它会鼓励攻击者进一步开发勒索软件。

如何保护IPMI

IPMI可以直接内置到服务器主板中,也可以通过安装在计算机中的附加卡接入。如果使用IPMI卡,就必须正确保护它们,以便攻击者无法利用它们来破坏服务器。

保护IPMI的第一步是更改默认密码。其中许多卡来自制造商,其默认密码为Admin /Admin之类,因此必须立即更改。

管理员还应配置仅允许某些IP地址访问IPMI接口的ACL。此外,IPMI接口应配置为仅侦听内部IP地址,以便只能由本地管理员或VPN连接访问。

Negulescu的另一个提示(不一定是IPMI接口特有),就是为GRUB引导加载程序添加密码。这样做会使从IPMI远程控制台重新启动到单用户模式(如果不是不可能的话)变得非常困难。

本文系统(linux)相关术语:linux系统 鸟哥的linux私房菜 linux命令大全 linux操作系统

代码区博客精选文章
分页:12
转载请注明
本文标题:JungleSec勒索软件通过IPMI远程控制台感染受害者
本站链接:https://www.codesec.net/view/627869.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(linux) | 评论(0) | 阅读(39)