Novi Linux malver koristi SambaCry ranjivost za kreiranje backdoora na NAS uređajima

Otkriven je malver koji koristi SambaCry ranjivost da instalira backdoor trojanca na Linux uređaje koji koriste starije verzije Samba file-sharing servera. Većina napada cilja konkretno NAS uređaje.

Šta je backdoor?

Backdoor je tehnika pomoću koje se pristupa računaru ili podacima bez aktiviranja bezbednosnih mehanizama kao što su autentifikacija ili enkripcija. 

Programeri često namerno ostavljaju backdoor zbog otkrivanja i otklanjanje kvarova/problema ili da bi omogućili korisnicima oporavak lozinke i slično. Backdoor mogu da kreiraju i administratori mreže, recimo backdoor se često koristi za pristup računaru ili mreži sa udaljene lokacije.  Ipak, neretko se dešava da napadači otkriju backdoor i koriste ga za instaliranje malvera, menjaju kod ili pristupaju podacima.  Takođe, backdoor može biti u formi sistemskih odnosno podrazumevanih korisničkih imena i lozinki, zbog čega je izuzetno važno da se default lozinke menjaju.

Backdoor uvek predstavlja bezbednosni rizik, ko god da ga je kreirao i za koju god namenu, jer ako se otkrije može da postane sredstvo za eksploatisanje sistema. Kreiranjem backdoora kreira se i ranjivost koja lako može da se iskoristi u maliciozne svrhe.

SHELLBIND backdoor koristi SambaCry ranjivost

Malver SHELLBIND, koristi ranjivost SambaCry (ili EternalRed) koja je poznata od maja 2017. Ranjivost CVE-2017-7494 — pogađa sva Samba softver izdanja u poslednjih sedam godina, počev od verzije 3.5.0.

Dve nedelje nakon što je Samba izdala zakrpu i nakon što su detalji ranjivosti objavljeni, neko je koristio SambaCry da inficira Linux servere i instalira program za “iskopavanje” kripto valute (cryptocurrency miner) po imenu EternalMiner.

SHELLBIND je jednostavan backdoor trojanac koji omogućava napadačima da izvrše komande u Power Shell-u na inficiranim uređajima sa udaljene lokacije.

Trojanac može da izmeni lokalna firewall pravila i da otvori TCP port 61422, a napadač može da se poveže sa inficiranim uređajem.

SHELLBIND šalje informaciju autoru da je inficirao novi uređaj tako što pinguje server na lokaciji 169[.]239[.]128[.]123 preko porta 80. Autor malvera izvlači nove IP adrese iz serverskih logova i ručno se povezuje na svaki inficirani host preko porta 61422.

Pristup SHELLBIND-ovom shellu je zaštićen passwordom. Password je nepromenljiv i glasi "Q8pGZFS7N1MObJHf".

SHELLBIND se verovatno koristi za krađu podataka

Za razliku od EternalMinera, koji cilja uglavnom Linux servere, SHELLBIND je otkriven najviše na NAS uređajima, iako inficira i druge vrste IoT opreme koje rade na ranjivim Samba verzijama.

Imajući u vidu karakteristike malvera i prirodu ciljanih napada, može se pretpostaviti da napadač traži podatke koje može da proda na hakerskim forumima, ili da ih koristi za ucenu kompanije kojoj pripadaju.

S obzirom da je ova ranjivost otkrivena u maju i da postoji patch, korisnici koji redovno ažuriraju softver nemaju problema. Međutim, Unix i Linux uređaji koji nisu primenili patcheve, i dalje su ranjivi. Obavezno proverite da li je vaš NAS na najnovijoj verziji Sambe i ažurirajte ako nije.

Izvor: bleepingcomputer.com