DirtyMoe ist der Name eines neuen Malware-Samples mit Entwurmungsfähigkeiten (mit cryptomining als Hauptzweck) von Avast-Forschern analysiert.
Die Analyse zeigt, dass das Entwurmungsmodul auf ältere Menschen abzielt, bekannte Sicherheitslücken, sowie ewige blau und Heiße Kartoffel. DirtyMoe ist auch in der Lage, einen Wörterbuchangriff mit dem Service Control Manager Remote Protocol durchzuführen (SCMR), WMI, und MS SQL-Dienste. Die Forscher entdeckten auch einen Algorithmus, der die IP-Adressen der Opfer basierend auf dem geografischen Standort des Wurmmoduls generiert. Was bedeutet das?
„Ein Wurmmodul kann Hunderttausende von privaten und öffentlichen IP-Adressen pro Tag generieren und angreifen; Viele Opfer sind gefährdet, da viele Computer noch ungepatchte Systeme oder schwache Passwörter verwenden,“Sagten die Forscher. Es sollte auch beachtet werden, dass die Malware ein gesundes modulares Design verwendet, Das bedeutet, dass bald neue Wurmmodule hinzugefügt werden können, die auf weit verbreitete Schwachstellen abzielen.
Wie wird DirtyMoe-Malware in freier Wildbahn verbreitet??
Die Forscher beobachten derzeit drei Hauptansätze, die die Malware verbreiten: PurpleFox EK, PurleFox-Wurm, und injizierte Telegramm-Installer dienen als Medium zur Verbreitung und Installation von DirtyMoe. Jedoch, Es ist sehr wahrscheinlich, dass die Malware auch andere Verbreitungstechniken verwendet.
Die Malware nutzt die folgenden Schwachstellen als Einstiegspunkt in ein System:
CVE:2019-9082: ThinkPHP – Multiple PHP Injection RCEs
CVE:2019-2725: Oracle Weblogic Server – 'AsyncResponseService' Deserialisierungs-RCE
CVE:2019-1458: WizardOpium Local Privilege Escalation
CVE:2018-0147: Schwachstelle bei Deserialisierung
CVE:2017-0144: EternalBlue SMB-Ferncodeausführung (MS17-010)
MS15-076: RCE Rechteerhöhung zulassen (Hot Potato Windows-Berechtigungsausweitung)
Wörterbuchangriffe auf MS SQL Server, SMB, und Windows-Verwaltungsinstrumentation (WMI)
Es scheint, dass sich die Malware weltweit weiter verbreitet, Dies ist das Ergebnis seiner Wurmstrategie, Ziele mit einem Pseudo-Zufalls-IP-Generator zu generieren. Diese Technik macht DirtyMoe flexibler und effizienter. Zudem, Die Malware kann auf Maschinen ausgeweitet werden, die hinter NAT verborgen sind (Übersetzung des Netzwerkzugriffs), was seine seitliche Bewegung in lokalen Netzwerken ermöglicht.
„Eine einzige DirtyMoe-Instanz kann bis zu generieren und angreifen 6,000 IP-Adressen pro Sekunde," der Bericht hinzugefügt.
Die Menge aktiver DirtyMoe-Instanzen könnte bedeuten, dass es Hunderttausende von Maschinen pro Tag gefährden könnte. Das Auftauchen neuer kritischer Schwachstellen, wie Log4j, bieten ferner „eine enorme und leistungsstarke Gelegenheit, ein neues Entwurmungsmodul zu implementieren“. Aus diesem Grund werden die Forscher die Entwurmungsaktivitäten von DirtyMoe weiterhin überwachen, Suche nach neuen Modulen.