.

بررسی بدافزار MrbMiner

1399/6/29 شنبه
این بدافزار اینترنت را برای یافتن کارسازهای MSSQL اسکن کرده و سپس با استفاده از رمزعبورهای ضعیف برای نفوذ به حساب کاربری مدیر سیستم، حملات brute-force را در شبکه اعمال می‌کند.

 شناسه و شدت آسیب‌پذیری
-

شدت آسیب‌پذیری (بر اساس CVSS 3.1)

-

کلیات

این بدافزار اینترنت را برای یافتن کارسازهای MSSQL اسکن کرده و سپس با استفاده از رمزعبورهای ضعیف برای نفوذ به حساب کاربری مدیر سیستم، حملات brute-force را در شبکه اعمال می‌کند. مهاجمان پس از ورود موفقیت‌آمیز به سیستم قربانی، فایل assm.exeرا به منظور مانایی و ایجاد حساب backdoor در سیستم بارگیری می‌کنند. این حساب از نام کاربری "Default" و رمز عبور "@fg125kjnhn987" استفاده می‌کند. آخرین مرحله از فرآیند آلودگی، اتصال به کارساز C2 و بارگیری یک برنامه است که با سوءاستفاده از منابع کارساز محلی و تولید ارزهای دیجیتال XMR در حساب‌های کاربری که توسط مهاجمان کنترل می‌شود،Monero (XMR) cryptocurrency  را استخراج می‌کند.

سامانه‌ها/خدمات تحت تأثیر

پایگاه‌داده‌های Microsoft SQL Servers و همچنین کارسازهای Linux و سیستم‌های مبتنی بر ARM

روش بهره‌برداری

-

روش شناسایی

-

روش‌های کاهش/ رفع

به مدیران سیستم توصیه می‌شود که کارسازهای MSSQL را جهت یافتن حساب‌های کاربری دارای نام کاربری و رمزعبورDefault/@fg125kjnhn987  بررسی کنند. در صورت وجود این نوع حساب‌ها، حسابرسی کامل شبکه توصیه می‌شود.

منابع و مراجع

[1]

https://www.zdnet.com/article/new-mrbminer-malware-has-infected-thousands-of-mssql-databases/

[2]

https://securityaffairs.co/wordpress/108341/hacking/mrbminer-mssql-miner.html

منبع :


نسخه قابل چاپ
بيشتر
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها