Računalništvo, telefonija
Varnost
29.01.2021 12:36
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

MrbMiner zlonamerna koda, ki napada MSSQL strežnik

Samo ime MrbMiner izhaja iz ene od domen, ki jih skupina uporablja za gostovanje zlonamerne kripto-rudarske kode.
Redno posodabljajte vaše operacijske sisteme in infrastrukturo z najnovejšimi popravki.
Redno posodabljajte vaše operacijske sisteme in infrastrukturo z najnovejšimi popravki.

Za novejšo kripto-rudarsko zlonamerno kodo – MrbMiner, ki se je lani pojavila in okužila na tisoče baz Microsoft SQL strežnikov (MSSQL), so sedaj raziskovalci podjetja za kibernetsko varnost Sophos ugotovili, da je povezana z majhnim podjetjem za razvoj programske opreme s sedežem v Iranu.


MrbMiner je septembra lani prvič dokumentiral kitajski tehnološki gigant Tencent. Napada strežnike MSSQL s ciljem namestitve kriptominerja, ki ugrabi in izkoristi procesorsko moč sistemov za rudarjenje kriptovalute Monero in usmerjanje v račune, ki jih nadzorujejo napadalci.

»Operacije MrbMinerja so v mnogih pogledih značilne za večino napadov na kriptominerje, ki smo jih videli, in ciljajo na strežnike povezane s svetovnim spletom,« je povedal Gabor Szappanos iz SophosLabs.

»Razlika je v tem, da se napadalec ni menil za previdnost, ko je šlo za prikrivanje identitete. Številni zapisi, ki se nanašajo na nastavitev rudarjenja, njegove domene in naslove IP, kažejo do ene same izvorne točke – majhnega podjetja s sedežem v Iranu,« še dodaja.

MrbMiner se svoje naloge loti z izvajanjem napada z grobo silo (brute force) na skrbniški račun MSSQL strežnika z uporabo različnih kombinacij šibkih gesel.

Po pridobitvi dostopa do MSSQL strežnika se prenese trojanski program imenovan ‘assm.exe’, ki vzpostavi stalnost, doda račun za nadaljnji dostop (uporabniško ime: Privzeto, geslo: @ fg125kjnhn987) in naloži koristno vsebino (payload) rudarja kriptovalut Monero (XMR), ki se izvaja na ciljnem strežniku.

Po mnenju Sophosa je bila koristna vsebina v obliki namerno različno poimenovanih ZIP datotek, kot so sys.dll, agentx.dll in hostx.dll, ki so med drugim vsebovale binarno datoteko samega rudarja ter konfiguracijsko datoteko.

MrbMiner tiha in nevidna grožnja


Napad s kripto-rudarsko zlonamerno kodo je običajno težko komu pripisati glede na njihovo anonimnost, toda pri MrbMinerju se zdi, da so napadalci naredili napako, ko so v prenosnik kodirali lokacijo koristnega tovora ter naslov ukaza in nadzora (C2).

Preberite kako se zaščititi pred zlonamerno kodo >>


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

FIŠ – FAKULTETA ZA INFORMACIJSKE ŠTUDIJE

Ljubljanska cesta 31a, 8000 Novo mesto, Tel: 07 373 78 84, 07 373 78 70
Sodobni študijski programi, možnost virtualne udeležbe na vseh predavanjih in vajah FIŠ je prva in edina javna fakulteta v Novem mestu, ki ponuja tako brezplačen redni ... Več

TISKARNA SILVECO

PE Stegne, Stegne 3, 1000 Ljubljana, Tel: 031 707 667
Ali iščete način za preboj komunikacijske ovire med vami in vašimi potencialnimi strankami ali partnerji? V današnji digitalni dobi je trg enostavno prenasičen s spletnimi oglasi ... Več

e-asist d.o.o.

Ljubljanska cesta 3a, 1236 Trzin, Tel: 040 879 080
Težave s tiskalniki? In to ravno takrat, ko imate največ dela? Z vključitvijo naprav v sistem nadzora, vam podjetje e-asist d.o.o. lahko zagotovi najmanjše število okvar ... Več

DRUŠTVO DUH ČASA

Trubarjeva cesta 72, 1000 Ljubljana, Tel: 06 815 40 63
Računalniki za socialno ogrožene Smo skupina računalniških zanesenjakov, ki le stežka gleda kako cele gore še uporabnih računalnikov in računalniških delov končajo na odpadu. ... Več