Hiljade MSSQL baza zaraženo MrbMiner malware-om
Cyber security odeljenje kineskog tehnološkog giganta, Tencent-a, objavilo je da je u poslednjih nekoliko meseci više hiljada Microsoft SQL Server baza zaraženo i na se njima nalaze instalirani crypto-miner-i.
Kompanija tvrdi da se zaraza širi tako što botnet skenira Internet za MSSQL serverima i, kada ih pronađe, koristi brute-force napade pokušavajući da otkrije administratorske naloge sa slabim lozinkama. Ako uspeju da dobiju pristup sistemu, na njih se postavlja assm.exe fajl koji se koristi za uspostavljanje backdoor naloga za buduće pristupe. Tencent je naveo da taj backdoor koristi nalog pod imenom „Default“ i da ima šifru „fg125kjnhn987.” Poslednji korak u procesu infekcije sistema je uspostavljanje daljinske kontrole i instalacija aplikacije koja rudari Monero kriptovalutu upotrebljavajući resurse servera. Generisani kripto-novac se upisuje u digitalne novčanike koje kontrolišu hakeri.
Tencent Security navodi da se infekcije dešavaju samo na MSSQL serverima, ali i da je MrbMiner, koji je upotrebljen za rudarenje, pronađen i u verzijama koje targetiraju Linux servere i ARM-bazirane sisteme. Analiza je pokazala i da se Linux verzija aktivno distribuira, ali da detalji o napadima na ove sisteme još nisu poznati.
Crypto wallet-i koji su otkriveni sadrže relativno male sume novca, između 300 i 650 dolara, ali to ne treba nikoga da zavara. Hakeri koji koriste crypto-minere su poznati da koriste veliki broj različitih wallet-a, pa je sigurno da je količina novca zarađena ovim putem mnogostruko veća od pronađene.
Administratorima MSSQL baza se preporučuje da provere da li na njihovom sistemu postoji „Default/@fg125kjnhn987“ nalog. U slučaju da se pronađe, potrebno je da se odmah obriše, ali i da se izvrši kompletno skeniranje i analiziranje sistema.
Izvor: ZDNet