Криптокопаенето може да остане напълно незабелязано в сървъра на жертвата(снимка:

Криптокопаенето може да остане изцяло неусетно в сървъра на жертвата
(снимка: CC0 Public Domain)

Злонамерен програмен продукт без файлове, работещ извънредно в паметта на сървъри под ръководство на Linux, прихваща изчислителните им запаси и конфигурира на тях криптомайнера Monero. Намирането му е извънредно мъчно.

Става въпрос за относително елементарен скрипт, написан на Python, допълнен от компилиран и кодиран с base64 XMRig криптомайнер, оповестява тематичният уеб-ресурс Bleeping Computer, базирайки се на откриватели от компанията за осведомителна сигурност Wiz, които са проучили PyLoose. Фактът, че софтуерът работи извънредно в RAM паметта, без да оставя диря от наличието си върху сторидж устройства, го прави незабележим за инструментите за сигурност.

Все отново PyLoose е бил засечен. Първите офанзиви, които специалистите на Wiz са съумели да документират, датират от 22 юни. Оттогава са докладвани минимум 200 офанзиви благодарение на този скрипт. Според Wiz, за първи път безфайлов злотворен програмен продукт, основан на Python, е употребен за офанзива на облачни запаси.

Атаката стартира с потребление на накърнимост в обществените уеб интерфейси на платформата за интерактивни калкулации Jupyter Notebook, която има неприятно внедрен механизъм за ограничение на систематичните команди. Нападателят употребява особено готова поръчка за евакуиране на безфайлов PyLoose пейлоуд от paste.c-net.org, който неотложно се зарежда в паметта на средата за осъществяване на Python.

Скриптът се декодира и разархивира, след което зарежда авансово компилирания крипто-майнер в оперативната памет благодарение на Linux помощната стратегия memfd. Това е много известен способ за инжектиране на злоумишлен програмен продукт без файлове в Linux: memfd разрешава основаване на анонимни файлови обекти в паметта, които могат да се употребяват за разнообразни цели, включително за пускане на злоумишлен развой напряко от паметта, като по този начин се заобикалят множеството обичайни антивирусни решения.
още по темата
Криптомайнерът, зареден в паметта на облачния запас, е относително нова версия на XMRig (v6.19.3), употребяваща пула MoneroOcean.

Експертите на Wiz не са съумели да дефинират кой стои зад тази акция: нападателите не оставят никакви артефакти, които да оказват помощ за идентифицирането им. Изследователите обаче считат, че това надалеч не са елементарни хакери и че техните способи за офанзива на облачни запаси демонстрират високо равнище на умения.

Самото потребление на безфайлов злотворен програмен продукт към този момент допуска, че офанзивите надалеч не са аматьорски. Началният стадий на офанзивата обаче става вероятен точно заради слабата отбрана на “входната точка ” – уеб интерфейсът, “отворен за всички ветрове ” и допускащ осъществяване на код. Когато избират жертви, хакерите постоянно ще избират тези, които са по-лесни за хакване, разясняват експерти.

За да предотвратят сходна офанзива, облачните админи следва да пазят уеб интерфейси и услуги, които разрешават осъществяване на случаен код, да ползват комплицирани пароли и многофакторно засвидетелствуване и да лимитират в оптималната степен опцията за осъществяване на систематични команди.