JungleSec勒索软件通过IPMI远程控制台感染受害者

TRex 勒索软件 2019年1月2日发布
Favorite收藏

导语:自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染使用Windows,Linux和Mac操作系统的受害者。

1545954855542223.png

自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。

在11月初的报道中,受害者使用的操作系统有Windows、Linux和Mac,但报道并未透露具体感染过程。自那以后,BleepingComputer已与多个受害者联系,他们的Linux服务器均感染了JungleSec勒索软件。根据反馈,这些服务器均通过不安全的IPMI设备感染。

IPMI是内置于服务器主板中的管理接口(或作为附加卡安装),允许管理员远程管理计算机、打开和关闭计算机电源、获取系统信息以及访问提供远程控制台访问权限的KVM。

这对于管理服务器非常有用,尤其是在租用其他公司服务器时。但是,如果未正确配置IPMI接口,则可能允许攻击者使用默认凭据远程连接并控制服务器。

通过IPMI安装JungleSec

在和两名受害者的对话中,BleepingComputer发现攻击者通过服务器的IPMI接口安装了JungleSec勒索软件。一名受害者的IPMI接口使用了默认的制造商密码。另一位受害者的管理员用户已被禁用,但攻击者仍然通过漏洞获取到了访问权限。

一旦获取到对服务器的访问权限(在这两起中都是Linux系统),攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式,他们就下载并编译ccrypt加密程序(ccrypt encryption program)。

根据一名受害者发布的Twitter(posted),一旦下载了ccrypt,攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于:

/usr/local/bin/ccrypt -e -f -S [email protected] -s -r -l /var/lib

输入此命令将提示攻击者输入密码,该密码随后将用于加密文件。

其中一名受害者Alex Negulescu 告诉BleepingComputer,攻击者会在执行sudo命令时显示一条消息,该命令提示受害者应该阅读ENCRYPTED.md文件。

ENCRYPTED.md文件是JungleSec的勒索信息,如下所示。此赎金便条包含联系攻击者[email protected]的说明,并将0.3比特币发送到随附的比特币地址以便恢复文件。

1545954869194522.jpg

JungleSec赎金便条

另一位名为pupper的受害者告诉BleepingComputer,攻击者还搜索并加载虚拟机磁盘,但没能正确加密它们。

他们加载了所有qemu / kvm磁盘,因此他们也可以加密VM中的所有文件。然而,黑客没能成功感染。

Pupper还告诉我们,攻击者留下了一个侦听TCP端口64321的后门,并创建了一个允许访问此端口的防火墙规则。目前尚不清楚安装了什么程序作为后门程序。

-A INPUT -p tcp -m tcp --dport 64321 -j ACCEPT

最后,有报告称多个受害者已支付赎金,但没有收到攻击者的回复,也没能恢复数据。一般的规则是不支付赎金,因为它会鼓励攻击者进一步开发勒索软件。

如何保护IPMI

IPMI可以直接内置到服务器主板中,也可以通过安装在计算机中的附加卡接入。如果使用IPMI卡,就必须正确保护它们,以便攻击者无法利用它们来破坏服务器。

保护IPMI的第一步是更改默认密码。其中许多卡来自制造商,其默认密码为Admin /Admin之类,因此必须立即更改。

管理员还应配置仅允许某些IP地址访问IPMI接口的ACL。此外,IPMI接口应配置为仅侦听内部IP地址,以便只能由本地管理员或VPN连接访问。

Negulescu的另一个提示(不一定是IPMI接口特有),就是为GRUB引导加载程序添加密码。这样做会使从IPMI远程控制台重新启动到单用户模式(如果不是不可能的话)变得非常困难。

本文翻译自:https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/如若转载,请注明原文地址: https://www.4hou.com/typ/15461.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论