DirtyMoe is de naam van een nieuw malwarevoorbeeld met ontwormingsmogelijkheden (met cryptomining als een primair doel) geanalyseerd door Avast-onderzoekers.
Uit de analyse blijkt dat de ontwormingsmodule zich richt op oudere, bekende kwetsbaarheden, zoals Eternal blue en Hete aardappel. DirtyMoe kan ook een woordenboekaanval uitvoeren met Service Control Manager Remote Protocol (SCMR), WMI, en MS SQL-services. De onderzoekers ontdekten ook een algoritme dat IP-adressen van slachtoffers genereert op basis van de geografische locatie van de ontwormingsmodule. Wat betekent dit?
“Eén wormmodule kan honderdduizenden private en publieke IP-adressen per dag genereren en aanvallen; veel slachtoffers lopen risico omdat veel machines nog steeds ongepatchte systemen of zwakke wachtwoorden gebruiken,”Aldus de onderzoekers. Er moet ook worden opgemerkt dat de malware een gezond modulair ontwerp gebruikt, wat betekent dat er binnenkort nieuwe ontwormingsmodules kunnen worden toegevoegd die zich richten op wijdverbreide kwetsbaarheden.
Hoe wordt DirtyMoe-malware in het wild verspreid??
De onderzoekers observeren momenteel drie belangrijke benaderingen die de malware verspreiden: PurpleFox EK, PurleFox Worm, en geïnjecteerde Telegram-installatieprogramma's dienen als medium om DirtyMoe te verspreiden en te installeren. Echter, het is zeer waarschijnlijk dat de malware ook andere distributietechnieken gebruikt.
De malware gebruikt de volgende kwetsbaarheden als toegangspoort tot een systeem::
CVE:2019-9082: ThinkPHP - Meerdere PHP-injectie RCE's
CVE:2019-2725: Oracle Weblogic Server - 'AsyncResponseService' deserialisatie RCE
CVE:2019-1458: WizardOpium Local Privilege Escalation
CVE:2018-0147: Kwetsbaarheid deserialisatie
CVE:2017-0144: Uitvoering van EternalBlue SMB-code op afstand (MS17-010)
MS15-076: RCE Verhoging van privileges toestaan (Hot Potato Windows Privilege Escalatie)
Woordenboekaanvallen op MS SQL-servers, SMB, en Windows Management Instrumentatie (WMI)
Het lijkt erop dat de malware zich wereldwijd steeds verder verspreidt, wat het resultaat is van de ontwormingsstrategie van het genereren van doelen met behulp van een pseudo-willekeurige IP-generator. Deze techniek maakt DirtyMoe flexibeler en efficiënter. Bovendien, de malware kan worden uitgebreid naar machines die verborgen zijn achter NAT (Vertaling van netwerktoegang), die zijn zijdelingse beweging in lokale netwerken mogelijk maakt.
“Een enkele DirtyMoe-instantie kan tot 6,000 IP-adressen per seconde," het rapport toegevoegd.
Het aantal actieve DirtyMoe-instanties zou kunnen betekenen dat het honderdduizenden machines per dag in gevaar zou kunnen brengen. De opkomst van nieuwe kritieke kwetsbaarheden, zoals Log4j, verder bieden "een geweldige en krachtige kans om een nieuwe ontwormingsmodule te implementeren." Daarom zullen de onderzoekers de ontwormingsactiviteiten van DirtyMoe blijven volgen, op zoek naar nieuwe modules.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: