Malicious Sustes telah diperbarui dan sekarang menyebar melalui kerentanan Exim (CVE-2019-10149)

Malicious Sustes telah diperbarui dan sekarang menyebar melalui kerentanan Exim (CVE-2019-10149).

Gelombang baru penambang crypto Sustes sekarang menggunakan kerentanan Juni di server email Exim untuk infeksi. Dimulai pada 11 Agustus, sensor jaringan PT Network Attack Discovery mendeteksi upaya untuk mengoperasikan server mail dalam lalu lintas jaringan yang masuk.

Pemindaian terjadi dari alamat 154.16.67 [.] 133, dan perintah di bidang RCPT TO memuat skrip bash berbahaya di alamat hxxp: //154.16.67 [.] 136 / main1. Rangkaian skrip menghasilkan menginstal penambang XMR pada host dan menambahkannya ke crontab. Skrip menambahkan kunci SSH publiknya ke daftar otor_keys pengguna saat ini, yang akan memungkinkan penyerang mendapatkan akses SSH tanpa kata sandi ke mesin di masa depan.

Selain itu, Sustes sedang mencoba untuk menyebar ke host lain dari daftar known_hosts melalui SSH; pada saat yang sama, diharapkan bahwa koneksi ke mereka terjadi secara otomatis oleh kunci publik. Proses infeksi diulangi lagi pada host SSH yang tersedia.



Ada cara distribusi lain. Sustes mengeksekusi rangkaian skrip Python, yang terakhir - hxxp: //154.16.67 [.] 135 / src / sc - berisi pemindai server Redis acak yang juga menambahkan dirinya ke crontab untuk autorun dan kuncinya ke daftar SSH- tepercaya kunci pada server Redis yang rentan:

x = s2.connect_ex((self.host, 6379)) … stt2=chkdir(s2, '/etc/cron.d') rs=rd(s2, 'config set dbfilename crontab\r\n') rs=rd(s2, 'config set dbfilename authorized_keys\r\n') stt3=chkdir(s2, '/root/.ssh') 

Menyingkirkan malware Sustes cukup sederhana: hapus file dan skrip berbahaya dengan nama-nama dari daftar di bawah ini, dan hapus juga file crontab dan known_hosts dari entri jahat. Sustes mengeksploitasi kerentanan lain untuk menginfeksi, misalnya, kerentanan di Hadoop YARN ResourceManager, atau menggunakan kekuatan kasar akun.