Računalništvo, telefonija
Varnost
29.01.2021 12:36
Posodobljeno 5 let nazaj.

Deli z drugimi:

Share

MrbMiner zlonamerna koda, ki napada MSSQL strežnik

Samo ime MrbMiner izhaja iz ene od domen, ki jih skupina uporablja za gostovanje zlonamerne kripto-rudarske kode.
Redno posodabljajte vaše operacijske sisteme in infrastrukturo z najnovejšimi popravki.
Redno posodabljajte vaše operacijske sisteme in infrastrukturo z najnovejšimi popravki.

Za novejšo kripto-rudarsko zlonamerno kodo – MrbMiner, ki se je lani pojavila in okužila na tisoče baz Microsoft SQL strežnikov (MSSQL), so sedaj raziskovalci podjetja za kibernetsko varnost Sophos ugotovili, da je povezana z majhnim podjetjem za razvoj programske opreme s sedežem v Iranu.


MrbMiner je septembra lani prvič dokumentiral kitajski tehnološki gigant Tencent. Napada strežnike MSSQL s ciljem namestitve kriptominerja, ki ugrabi in izkoristi procesorsko moč sistemov za rudarjenje kriptovalute Monero in usmerjanje v račune, ki jih nadzorujejo napadalci.

»Operacije MrbMinerja so v mnogih pogledih značilne za večino napadov na kriptominerje, ki smo jih videli, in ciljajo na strežnike povezane s svetovnim spletom,« je povedal Gabor Szappanos iz SophosLabs.

»Razlika je v tem, da se napadalec ni menil za previdnost, ko je šlo za prikrivanje identitete. Številni zapisi, ki se nanašajo na nastavitev rudarjenja, njegove domene in naslove IP, kažejo do ene same izvorne točke – majhnega podjetja s sedežem v Iranu,« še dodaja.

MrbMiner se svoje naloge loti z izvajanjem napada z grobo silo (brute force) na skrbniški račun MSSQL strežnika z uporabo različnih kombinacij šibkih gesel.

Po pridobitvi dostopa do MSSQL strežnika se prenese trojanski program imenovan ‘assm.exe’, ki vzpostavi stalnost, doda račun za nadaljnji dostop (uporabniško ime: Privzeto, geslo: @ fg125kjnhn987) in naloži koristno vsebino (payload) rudarja kriptovalut Monero (XMR), ki se izvaja na ciljnem strežniku.

Po mnenju Sophosa je bila koristna vsebina v obliki namerno različno poimenovanih ZIP datotek, kot so sys.dll, agentx.dll in hostx.dll, ki so med drugim vsebovale binarno datoteko samega rudarja ter konfiguracijsko datoteko.

MrbMiner tiha in nevidna grožnja


Napad s kripto-rudarsko zlonamerno kodo je običajno težko komu pripisati glede na njihovo anonimnost, toda pri MrbMinerju se zdi, da so napadalci naredili napako, ko so v prenosnik kodirali lokacijo koristnega tovora ter naslov ukaza in nadzora (C2).

Preberite kako se zaščititi pred zlonamerno kodo >>


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

STRIM PLUS d.o.o.

Cesta dveh cesarjev 393, 1000 Ljubljana, Tel: 05 907 52 00
Strim plus d.o.o. sestavlja dinamična ekipa, ki se ukvarja s tremi segmenti poslovanja v prehodu od papirnate sedanjosti v digitalno prihodnost. Foto: Freepik Pametni zasloni Potrebujete ... Več
Diamantni partner

ZAVOD DIGITALNO INOVACIJSKO STIČIŠČE (DIH SLOVENIJE)

Dimičeva ulica 13, 1000 Ljubljana, Tel: 040 606 710
DIH Slovenije omogoča digitalno transformacijo po principu vse-na-enem-mestu, v Sloveniji in širše. Osvešča in zagotavlja storitve za rast digitalnih kompetenc, izmenjavo digitalnih ... Več

POINT.ER IT d.o.o.

Dolenji Boštanj 55, 8294 Boštanj, Tel: 07 814 98 00
Osredotočeni s Point.er Kako na enem mestu najti vse, kar potrebujete pri vodenju podjetja ali le v domači pisarni? Point.er it, d. o. o., je podjetje, ki ponuja celotne IT storitve, ... Več
Diamantni partner

Miklavčič marketing, d.o.o.

Zgornji Brnik 130H, 4210 Brnik aerodrom, Tel: 041 414 847