Računalništvo, telefonija
29.01.2021 12:36
Posodobljeno 5 mesecev nazaj.

Deli z drugimi:

Share

MrbMiner zlonamerna koda, ki napada MSSQL strežnik

Samo ime MrbMiner izhaja iz ene od domen, ki jih skupina uporablja za gostovanje zlonamerne kripto-rudarske kode.
Redno posodabljajte vaše operacijske sisteme in infrastrukturo z najnovejšimi popravki.
Redno posodabljajte vaše operacijske sisteme in infrastrukturo z najnovejšimi popravki.

Za novejšo kripto-rudarsko zlonamerno kodo – MrbMiner, ki se je lani pojavila in okužila na tisoče baz Microsoft SQL strežnikov (MSSQL), so sedaj raziskovalci podjetja za kibernetsko varnost Sophos ugotovili, da je povezana z majhnim podjetjem za razvoj programske opreme s sedežem v Iranu.


MrbMiner je septembra lani prvič dokumentiral kitajski tehnološki gigant Tencent. Napada strežnike MSSQL s ciljem namestitve kriptominerja, ki ugrabi in izkoristi procesorsko moč sistemov za rudarjenje kriptovalute Monero in usmerjanje v račune, ki jih nadzorujejo napadalci.

»Operacije MrbMinerja so v mnogih pogledih značilne za večino napadov na kriptominerje, ki smo jih videli, in ciljajo na strežnike povezane s svetovnim spletom,« je povedal Gabor Szappanos iz SophosLabs.

»Razlika je v tem, da se napadalec ni menil za previdnost, ko je šlo za prikrivanje identitete. Številni zapisi, ki se nanašajo na nastavitev rudarjenja, njegove domene in naslove IP, kažejo do ene same izvorne točke – majhnega podjetja s sedežem v Iranu,« še dodaja.

MrbMiner se svoje naloge loti z izvajanjem napada z grobo silo (brute force) na skrbniški račun MSSQL strežnika z uporabo različnih kombinacij šibkih gesel.

Po pridobitvi dostopa do MSSQL strežnika se prenese trojanski program imenovan ‘assm.exe’, ki vzpostavi stalnost, doda račun za nadaljnji dostop (uporabniško ime: Privzeto, geslo: @ fg125kjnhn987) in naloži koristno vsebino (payload) rudarja kriptovalut Monero (XMR), ki se izvaja na ciljnem strežniku.

Po mnenju Sophosa je bila koristna vsebina v obliki namerno različno poimenovanih ZIP datotek, kot so sys.dll, agentx.dll in hostx.dll, ki so med drugim vsebovale binarno datoteko samega rudarja ter konfiguracijsko datoteko.

MrbMiner tiha in nevidna grožnja


Napad s kripto-rudarsko zlonamerno kodo je običajno težko komu pripisati glede na njihovo anonimnost, toda pri MrbMinerju se zdi, da so napadalci naredili napako, ko so v prenosnik kodirali lokacijo koristnega tovora ter naslov ukaza in nadzora (C2).

Preberite kako se zaščititi pred zlonamerno kodo >>

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.



Prijavi napako v članku

Partnerji Računalniških novic Prikaži vse

Zlati partner

AVTERA d.o.o.

Litijska cesta 259, 1261 Ljubljana - Dobrunje, Tel: 01 585 36 10
Avtera d.o.o. je slovenski zastopnik in distributer nekaterih najpomembnejših blagovnih znamk s področja računalništva, informacijske tehnologije in zabavne elektronike. Trendi ... Več
Zlati partner

AVTERA d.o.o. – LINKSYS

Litijska 259, 1261 Ljubljana - Dobrunje, Tel: 01 58 53 610
Linksys, internet - sinonim za kvalitetno mrežno opremo, ki zagotavlja stik s svetom. Zmogljiva, varna in zanesljiva oprema za dom in manjša podjetja. Rešitve, ki jih Linksys ... Več
Zlati partner

LENOVO TECHNOLOGY B.V. AMSTERDAM

Pot za Brdom 100 (Tehnološki Park - G), 1000 Ljubljana, Tel: 01 620 71 80
Lenovo stremi k izdelavi vrhunskih računalnikov in internetnih naprav z vgrajenimi najnovejšimi tehnologijami, z edinstvenim dezajnom. Vse to za za brezkompromisno doživetje uporabnikov! Ena ... Več
Zlati partner

COPIA BIRO d.o.o.

Koprska ulica 106b, 1000 Ljubljana, Tel: 01 242 58 00
Podjetje Copia biro d.o.o. je bilo ustanovljeno leta 2012. Od leta 1980 do leta 2012 je delovalo kot sektor v okviru podjetja Copia d.o.o. Leta 2013 so se preselili v poslovne prostore ... Več