DirtyMoe er navnet på en ny malware-prøve med ormekure evner (med cryptomining som et primært formål) analyseret af Avast-forskere.
Analysen afslører, at ormemodulet retter sig mod ældre, velkendte sårbarheder, såsom Eternal blå og Hot Potato. DirtyMoe er også i stand til at udføre et ordbogsangreb ved hjælp af Service Control Manager Remote Protocol (SCMR), WMI, og MS SQL-tjenester. Forskerne opdagede også en algoritme, der genererer ofrets IP-adresser baseret på ormemodulets geografiske placering. Hvad betyder det?
"Ét ormemodul kan generere og angribe hundredtusindvis af private og offentlige IP-adresser om dagen; mange ofre er i fare, da mange maskiner stadig bruger ikke-patchede systemer eller svage adgangskoder,”Siger forskerne. Det skal også bemærkes, at malwaren bruger et sundt modulært design, hvilket betyder, at der snart kan tilføjes nye ormemoduler, der er rettet mod udbredte sårbarheder.
Hvordan udbredes DirtyMoe-malware i naturen?
Forskerne observerer i øjeblikket tre hovedtilgange, der spreder malwaren: PurpleFox EK, PurleFox Worm, og injicerede Telegram Installers tjener som medier til at sprede og installere DirtyMoe. Men, det er højst sandsynligt, at malwaren også bruger andre distributionsteknikker.
Malwaren bruger følgende sårbarheder som et indgangspunkt til et system:
CVE:2019-9082: ThinkPHP – Flere PHP Injection RCE'er
CVE:2019-2725: Oracle Weblogic Server – 'AsyncResponseService' Deserialisering RCE
CVE:2019-1458: WizardOpium Local Privilege Escalation
CVE:2018-0147: Deserialiseringssårbarhed
CVE:2017-0144: EternalBlue SMB Fjernkodeudførelse (MS17-010)
MS15-076: RCE Tillad forhøjelse af privilegier (Hot Potato Windows Privilege Eskalering)
Ordbogsangreb på MS SQL-servere, SMB, og Windows Management Instrumentation (WMI)
Det ser ud til, at malwaren bliver mere udbredt globalt, som er et resultat af dens ormestrategi med at generere mål ved hjælp af en pseudo-tilfældig IP-generator. Denne teknik gør DirtyMoe mere fleksibel og effektiv. Desuden, malwaren kan udvides til maskiner skjult bag NAT (Oversættelse af netværksadgang), som muliggør dens sideværts bevægelse i lokale netværk.
"En enkelt DirtyMoe-instans kan generere og angribe op til 6,000 IP-adresser pr. sekund," rapporten tilføjet.
Mængden af aktive DirtyMoe-forekomster kan betyde, at det kan bringe hundredtusindvis af maskiner i fare pr.. Fremkomsten af nye kritiske sårbarheder, såsom Log4j, giver yderligere "en enorm og kraftfuld mulighed for at implementere et nyt ormemodul." Derfor vil forskerne fortsat overvåge DirtyMoes ormekuraktiviteter, leder efter nye moduler.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: