欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

JungleSec勒索软件通过IPMI远程控制台感染受害者

来源:本站整理 作者:佚名 时间:2019-01-03 TAG: 我要投稿


自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。
在11月初的报道中,受害者使用的操作系统有Windows、Linux和Mac,但报道并未透露具体感染过程。自那以后,BleepingComputer已与多个受害者联系,他们的Linux服务器均感染了JungleSec勒索软件。根据反馈,这些服务器均通过不安全的IPMI设备感染。
IPMI是内置于服务器主板中的管理接口(或作为附加卡安装),允许管理员远程管理计算机、打开和关闭计算机电源、获取系统信息以及访问提供远程控制台访问权限的KVM。
这对于管理服务器非常有用,尤其是在租用其他公司服务器时。但是,如果未正确配置IPMI接口,则可能允许攻击者使用默认凭据远程连接并控制服务器。
通过IPMI安装JungleSec
在和两名受害者的对话中,BleepingComputer发现攻击者通过服务器的IPMI接口安装了JungleSec勒索软件。一名受害者的IPMI接口使用了默认的制造商密码。另一位受害者的管理员用户已被禁用,但攻击者仍然通过漏洞获取到了访问权限。
一旦获取到对服务器的访问权限(在这两起中都是Linux系统),攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式,他们就下载并编译ccrypt加密程序(ccrypt encryption program)。
根据一名受害者发布的Twitter(posted),一旦下载了ccrypt,攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于:
/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib
输入此命令将提示攻击者输入密码,该密码随后将用于加密文件。
其中一名受害者Alex Negulescu 告诉BleepingComputer,攻击者会在执行sudo命令时显示一条消息,该命令提示受害者应该阅读ENCRYPTED.md文件。
ENCRYPTED.md文件是JungleSec的勒索信息,如下所示。此赎金便条包含联系攻击者junglesec@anonymousspeech.com的说明,并将0.3比特币发送到随附的比特币地址以便恢复文件。

JungleSec赎金便条
另一位名为pupper的受害者告诉BleepingComputer,攻击者还搜索并加载虚拟机磁盘,但没能正确加密它们。
他们加载了所有qemu / kvm磁盘,因此他们也可以加密VM中的所有文件。然而,黑客没能成功感染。
Pupper还告诉我们,攻击者留下了一个侦听TCP端口64321的后门,并创建了一个允许访问此端口的防火墙规则。目前尚不清楚安装了什么程序作为后门程序。
-A INPUT -p tcp -m tcp --dport 64321 -j ACCEPT
最后,有报告称多个受害者已支付赎金,但没有收到攻击者的回复,也没能恢复数据。一般的规则是不支付赎金,因为它会鼓励攻击者进一步开发勒索软件。
如何保护IPMI
IPMI可以直接内置到服务器主板中,也可以通过安装在计算机中的附加卡接入。如果使用IPMI卡,就必须正确保护它们,以便攻击者无法利用它们来破坏服务器。
保护IPMI的第一步是更改默认密码。其中许多卡来自制造商,其默认密码为Admin /Admin之类,因此必须立即更改。
管理员还应配置仅允许某些IP地址访问IPMI接口的ACL。此外,IPMI接口应配置为仅侦听内部IP地址,以便只能由本地管理员或VPN连接访问。
Negulescu的另一个提示(不一定是IPMI接口特有),就是为GRUB引导加载程序添加密码。这样做会使从IPMI远程控制台重新启动到单用户模式(如果不是不可能的话)变得非常困难。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载