Криптокопаенето може да остане напълно незабелязано в сървъра на жертвата
(снимка: CC0 Public Domain)
Злонамерен софтуер без файлове, работещ изключително в паметта на сървъри под управление на Linux, прихваща изчислителните им ресурси и инсталира на тях криптомайнера Monero. Откриването му е изключително трудно.
Става въпрос за сравнително прост скрипт, написан на Python, допълнен от компилиран и кодиран с base64 XMRig криптомайнер, съобщава тематичният уеб-ресурс Bleeping Computer, позовавайки се на изследователи от компанията за информационна сигурност Wiz, които са проучили PyLoose. Фактът, че софтуерът работи изключително в RAM паметта, без да оставя следа от присъствието си върху сторидж устройства, го прави невидим за инструментите за сигурност.
Все пак PyLoose е бил засечен. Първите атаки, които експертите на Wiz са успели да документират, датират от 22 юни. Оттогава са докладвани най-малко 200 атаки с помощта на този скрипт. Според Wiz, за първи път безфайлов зловреден софтуер, базиран на Python, е използван за атака срещу облачни ресурси.
Атаката започва с използване на уязвимост в публичните уеб интерфейси на платформата за интерактивни изчисления Jupyter Notebook, която има лошо внедрен механизъм за ограничаване на системните команди. Нападателят използва специално подготвена заявка за изтегляне на безфайлов PyLoose пейлоуд от paste.c-net.org, който незабавно се зарежда в паметта на средата за изпълнение на Python.
Скриптът се декодира и разархивира, след което зарежда предварително компилирания крипто-майнер в оперативната памет с помощта на Linux помощната програма memfd. Това е доста популярен метод за инжектиране на злонамерен софтуер без файлове в Linux: memfd позволява създаване на анонимни файлови обекти в паметта, които могат да се използват за различни цели, вкл. за стартиране на злонамерен процес направо от паметта, като така се заобикалят повечето традиционни антивирусни решения.
Криптомайнерът, зареден в паметта на облачния ресурс, е сравнително нова версия на XMRig (v6.19.3), използваща пула MoneroOcean.
Експертите на Wiz не са успели да определят кой стои зад тази кампания: нападателите не оставят никакви артефакти, които да помогнат за идентифицирането им. Изследователите обаче смятат, че това далеч не са обикновени хакери и че техните методи за атака на облачни ресурси показват високо ниво на умения.
Самото използване на безфайлов зловреден софтуер вече предполага, че атаките далеч не са аматьорски. Началният етап на атаката обаче става възможен именно поради слабата защита на “входната точка” – уеб интерфейсът, “отворен за всички ветрове” и позволяващ изпълнение на код. Когато избират жертви, нападателите винаги ще предпочитат тези, които са по-лесни за хакване, коментират специалисти.
За да предотвратят подобна атака, облачните администратори следва да защитават уеб интерфейси и услуги, които позволяват изпълнение на произволен код, да прилагат сложни пароли и многофакторно удостоверяване и да ограничават в максимална степен възможността за изпълнение на системни команди.