JungleSec勒索软件通过IPMI感染受害者

JungleSec勒索软件通过IPMI感染受害者

自11月初以来,一个名为JungleSec勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。

在11月报道之初,受害者都是Windows、Linux和Mac用户,但没有迹象表明他们是如何被感染的。从那以后,研究人员与多个Linux服务器感染了JungleSec勒索软件的受害者联系,发现都是通过不安全的IPMI设备感染的。

IPMI是内置于服务器主板中的管理界面,或作为附加卡安装,允许管理员远程管理计算机、打开和关闭计算机电源、获取系统信息以及访问可为您提供远程控制访问权限的KVM。

这对于管理服务器非常有用,尤其租用在远程配置中心的其他公司的服务器时。但是,如果未正确配置IPMI接口,则可能允许攻击者使用默认凭据远程连接并控制您的服务器。

通过IPMI安装JungleSec

研究人员在与两名受害者的对话过程中发现攻击者通过服务器的IPMI接口安装JungleSec勒索软件。在这里,IPMI接口使用默认密码。另一位受害者表示管理员用户已被禁用,但攻击者仍然可以通过可能存在的漏洞获取访问权限。

一旦用户获得了对服务器的访问权限,攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式,攻击者就会下载并编译ccrypt加密程序。

一旦下载了ccrypt,攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于:

JungleSec勒索软件通过IPMI感染受害者

输入此命令后会要求攻击者输入密码,此密码随后将用于加密文件。

受害者之一的Alex Negulescu表示在执行sudo命令时,攻击者会给受害者一条信息,让他去阅读文件ENCRYPTED.md。

文件ENCRYPTED.md是JungleSec勒索软件的勒索信,下图是其内容。勒索信中表示受害者可以通过junglesec@anonymousspeech.com联系攻击者,要想恢复文件,就得向攻击者支付0.3个比特币。

JungleSec勒索软件通过IPMI感染受害者

JungleSec勒索信

另一个名为pupper的受害者表示,攻击者还搜索并安装了虚拟机磁盘,但无法正确加密磁盘。

攻击者安装了所有的qemu/kvm磁盘,所以他们能够加密VM里面所有的文件。然而到目前为止黑客还没能感染超过1个无用的主目录和1个KVM机器。

Pupper还表示攻击者留下了一个监听TCP端口64321的后门,并创建了一个允许访问此端口的防火墙规则。但目前尚不清楚安装了什么程序作为后门程序。

JungleSec勒索软件通过IPMI感染受害者

最后,很多受害者支付赎金以后却没有收到攻击者的恢复,仍然无法恢复数据。虽然一般情况下不要支付赎金,因为这只会增长攻击者的嚣张气焰。

如何保护IPMI接口

IPMI接口可以直接合并到服务器主板中,也可以通过安装在计算机中的附加卡接入。如果您使用的是IPMI接口,那么必须正确保护它们,这样攻击者才无法利用它们来破坏服务器。

保护IPMI接口的第一步是更改默认密码。许多接口的默认密码都是Admin,因此必须立即更改密码。

管理员还应配置仅允许某些IP地址访问IPMI接口的ACL。此外,IPMI接口应配置为仅监听内部IP地址,这样就只能由本地管理员或VPN连接访问。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133748.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code