JungleSec Ransomware通过IPMI远程控制台感染受害者

自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。
最初在11月初报道时,受害者被视为使用Windows,Linux和Mac,但没有迹象表明他们是如何被感染的。从那以后,BleepingComputer已经与多个受害者交谈,他们的Linux服务器感染了JungleSec Ransomware,他们都说了同样的话。他们被不安全的IPMI设备感染。
IPMI是内置于服务器主板中的管理界面,或作为附加卡安装,允许管理员远程管理计算机,打开和关闭计算机电源,获取系统信息以及访问可为您提供远程控制台访问权限的KVM。
这对于管理服务器非常有用,尤其是在远程配置中心的其他公司租用服务器时。但是,如果未正确配置IPMI接口,则可能允许攻击者使用默认凭据远程连接并控制您的服务器。


通过IPMI安装JungleSec

在BleepingComputer和两名受害者之间的对话中,发现攻击者通过服务器的IPMI接口安装了JungleSec勒索软件。在一种情况下,IPMI接口使用默认的制造商密码。另一位受害者表示管理员用户已被禁用,但攻击者仍然可以通过可能的漏洞获取访问权限。
一旦用户获得了对服务器的访问权限(在这两种情况下都是Linux),攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式,他们就下载并编译了ccrypt加密程序
根据在Twitter上发布的受害者之一,一旦下载了ccrypt,攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于:

/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib
输入此命令将提示攻击者输入密码,该密码随后将用于加密文件。
其中一名受害者  Alex Negulescu  告诉BleepingComputer,攻击者会在执行sudo命令时显示一条消息,该命令表明受害者应该读取ENCRYPTED.md文件。
ENCRYPTED.md文件是JungleSec Ransomware的勒索信息,如下所示。此赎金说明包含联系攻击者junglesec@anonymousspeech.com的说明,并将.3比特币发送到随附的比特币地址以便恢复文件。
JungleSec Ransom注意
另一位 在推特上通过名称pupper的受害者告诉BleepingComputer,攻击者还搜索并安装了虚拟机磁盘,但无法正确加密它们

“他们安装了所有的qemu / kvm磁盘,因此他们也可以加密VM中的所有文件。但是,黑客从未设法感染超过1个无用的主目录和1个KVM机器。”





Pupper还告诉我们,攻击者留下了一个侦听TCP端口64321的后门,并创建了一个允许访问此端口的防火墙规则。目前尚不清楚安装了什么程序作为后门程序。


-A INPUT -p tcp -m tcp --dport 64321 -j ACCEPT
最后,但并非最不重要的是,有多个受害者支付勒索软件的报告,但没有收到攻击者的回复,也无法恢复他们的数据。虽然一般规则是不支付赎金,因为它只鼓励进一步开发勒索软件,但这是另一个不这样做的理由。


如何保护IPMI接口
IPMI接口可以直接合并到服务器主板中,也可以通过安装在计算机中的附加卡接入。如果您使用的是IPMI接口,则必须正确保护它们,以便攻击者无法利用它们来破坏服务器。


保护IPMI接口的第一步是更改默认密码。其中许多卡将来自制造商,其默认密码如Admin / Admin,因此必须立即更改密码。


管理员还应配置仅允许某些IP地址访问IPMI接口的ACL。此外,IPMI接口应配置为仅侦听内部IP地址,以便只能由本地管理员或VPN连接访问。



Negulescu提供的另一个提示,不一定是IPMI接口特有的,是为GRUB引导加载程序添加密码。这样做会使从IPMI远程控制台重新启动到单用户模式(如果不是不可能的话)变得更加困难。
转载请注明本文链接: http://www.mayidui.net/t2850.html
游客
登录后才可以回帖,登录 或者 注册