SambaCry к нам приходит

Не так давно в Сети появилась новость о том, что помимо сильно нашумевшей уязвимости EternalBlue существует еще и ее младшая сестра-близнец под *nix системы — EternalRed (она же SambaCry). Данной уязвимости, получившей номер CVE-2017-7494, подвержены все версии Samba начиная с 3.5.0, которая вышла еще в 2010 году. Закрыта эта уязвимость была только в последних версиях пакета — 4.6.4/4.5.10/4.4.14.

30-го мая этого года наши ловушки (honeypots) зарегистрировали первую атаку с использованием SambaCry. В качестве полезной нагрузки эксплойта использовался не троянец-шифровальщик (как в случае с EternalBlue и WannaCry), а утилита для майнинга криптовалюты!

Эксплуатация уязвимости

Первый делом злоумышленники проверяют, доступен ли сетевой диск на запись для неавторизованного пользователя. Для этого они пытаются записать на диск текстовый файл, содержащий 8 случайных символов. Далее, если все прошло успешно, удаляют его и переходят к следующему этапу. Если диск недоступен, атака прекращается.

Запись и удаление тестового файла

На следующем этапе на сетевой диск под видом модуля для Samba загружается полезная нагрузка эксплойта. Последняя будет выполнена с правами суперпользователя после успешной эксплуатации уязвимости SambaCry. Но для этого злоумышленникам сначала необходимо подобрать полный путь к загруженному файлу, начиная от корневой директории файловой системы. Эти попытки хорошо видны в трафике, «снятом» с нашей ловушки: в переборе используются наиболее вероятные (взятые, к примеру, из мануалов) пути размещения сетевого диска.

Процесс подбора пути к файлу с полезной нагрузкой

После того, как путь был найден, загруженный файл может быть исполнен в контексте процесса samba-сервера. А чтобы не оставлять лишних следов, он удаляется с диска, продолжая существовать и работать только в виртуальной памяти.

В нашем случае таким образом в качестве полезной нагрузки были загружены и выполнены два файла: INAebsGB.so (349d84b3b176bbc9834230351ef3bc2a — Backdoor.Linux.Agent.an) и cblRWuoCc.so (2009af3fed2a4704c224694dfc4b31dc — Trojan-Downloader.Linux.EternalMiner.a).

Файл INAebsGB.so

Данный файл является простейшим реверс-шеллом. Он подключается по заданному порту к указанному своим владельцем IP-адресу и «пробрасывает» туда shell (/bin/sh). В результате злоумышленники имеют возможность удаленно выполнять произвольные shell-команды, будь то скачивание и запуск файла из интернета или удаление всех данных на компьютере жертвы.

Код файла INAebsGB.so

Стоит отметить, что подобная полезная нагрузка используется в реализации эксплойта для SambaCry в Metasploit.

Файл cblRWuoCc.so

Основной функцией этого файла является скачивание и запуск популярного open-source майнера криптовалюты — cpuminer (minerd). Делается это при помощи зашитой в файле shell-команды, которую видно на скриншоте ниже.

Основные функции файла cblRWuoCc.so

Загруженный таким образом файл minerd64_s (8d8bdb58c5e57c565542040ed1988af9 — RiskTool.Linux.BitCoinMiner.a) в результате оказывается скачан в файл /tmp/m на целевой системе.

Cpuminer и что он майнит

Стоит отметить, что эта версия cpuminer немного «доработана»: она может быть запущена без каких-либо параметров, и в таком случае будет добывать валюту прямо на «зашитый» в нее кошелек злоумышленников. И нам, конечно же, стало любопытно что это за кошелек, сколько там виртуальных монеток и каких.

Итак, помимо номера кошелька злоумышленников в теле майнера находится также и адрес пула — xmr.crypto-pool.fr:3333. Этот пул специализируется на добыче криптовалюты с открытым исходным кодом — monero. Имея на руках эти данные можно посмотреть текущее состояние счета злоумышленников и историю начисления валюты за майнинг. Что мы и сделали:

Состояние счета злоумышленников на 08.06.2017

История начисления криптовалюты на счет злоумышленников

Домен, с которого скачивается майнер был зарегистрирован 29-го апреля 2017 года. А судя по полученным данным, первые крипто-монетки поступили на счет уже на следующий день — 30-го апреля. В первый день злоумышленники получили всего около 1 XMR (примерно 55$ на 08.06.2017), а в последнюю неделю они уже получали порядка 5 XMR ежедневно. Это говорит о том, что ботнет устройств, трудящихся на благо злоумышленников, благополучно растет.

С учетом того, что про уязвимость EternalRed мир узнал только в конце мая, а злоумышленники уже взяли ее к себе на вооружение, темпы роста числа зараженных машин могут сильно возрасти. Всего на данный кошелек в результате майнинга чуть больше чем за месяц было начислено 98 XMR. Это примерно 5,5 тыс. долларов по курсу на момент написания этой статьи.

Заключение

В результате действий злоумышленников атакованная машина превращается в рабочую лошадку на большой ферме, занимающейся добычей криптовалюты для атакующих. А с помощью оставленного в системе реверс-шелла злоумышленники имеют возможность менять конфигурацию уже работающего майнера или же заражать компьютер-жертву другими видами вредоносного ПО.

На данный момент у нас нет информации о масштабах подобной атаки. Однако это отличный повод для системных администраторов и рядовых линуксоидов обновить их samba-серверы до последней версии уже сейчас, предотвращая будущие проблемы. А может ваша машина уже и принесла монетку-другую в копилку к жадным хакерам?