İnternet Uygulamalarında Gizli Kripto Para Madenciliği Yapıldığı Keşfedildi

İnternet Uygulamalarında Gizli Kripto Para Madenciliği Yapıldığı Keşfedildi

Bir siber güvenlik firması olan Red Canary’deki analistler, ASP.NET web çerçevesi üzerine inşa edilmiş halka açık web uygulamalarında CIO-2019-18935 adlı bir serileştirme güvenlik açığından yararlanan bir Monero kripto para madenciliği sistemini keşfettiler.

Sisteme “Blue Mockingbird” adı verildi.. Uzaktan kod yürütme için ASP.NET AJAX için Progress Telerik UI ön uç teklifinde bulunan merkezi olmayan güvenlik açığını kullanıyorlar. AJAX (Asenkron JavaScript ve XML), tarayıcı tarafından işlenecek ve yürütülecek bir web sayfasına komut dosyası eklemek için kullanılan bir araçtır.

Bu özel güvenlik açığı CVE-2019-18935, Ulusal Güvenlik Açığı Veritabanı’nda belirtildiği gibi RadAsyncUpload işlevinde bulunur. Şifreleme anahtarını bilerek kullanılır (başka bir saldırı veya yöntemle).

Analist kampanyayı Aralık ayından ve Nisan ayına kadar sürdürdü. Siber suçlular, güvenlik açığının düzeltilmediği ve güvenlik açığı yoluyla XMRig Monero kripto madencilik yükünü enjekte ederek ve ağ üzerinden dağıtarak ASP.NET için Telerik UI’nin eşleşmemiş sürümlerini kullanıyor.

XMRig açık kaynak kodludur ve analist tarafından yapılan araştırmaya göre özel takımlara dönüştürülebilir. Red Canary üç belirgin yürütme yolu keşfetti: rundll32.exe ile yürütme açıkça DLL fackaaxv çağırıyor; /s komut satırı seçimini kullanarak regsvr32.exe kullanarak yürütme ve bir Windows Service DLL olarak düzenlenmiş yük ile yürütme.

“Her yük, bir Monero cüzdan adresinin yanı sıra yaygın olarak kullanılan Monero-madencilik alanlarının standart bir listesiyle derleniyor.” Monero’nun özel yapısı nedeniyle, bu cüzdanların miktarını tahmin etmek için lazım verileri göremiyoruz. ”

Kalıcı olmak için, Blue Mockingbird korsanları ilk önce giriş yapmalı ve farklı stratejiler kullandıkları ayrıcalıklarını kaldırmalıdır. Başka bir durumda, oturum açma kimlik bilgilerini almak için Mimikatz aygıtı (yetki ile işaretlenmiş sürüm) kullanılmıştır.

Blue Mockingbird -bu oturum açma ve ayrıcalıkları aldıktan sonra- DLL çalıştırmak için COR_PROFILER COM gibi birden çok teknik kullandı.

“COR_PROFILER kullanmak için, ortam değişkenlerini ayarlamak ve bir DLL yükü belirlemek için wmic.exe ve Windows Kayıt Defteri değişikliklerini kullandılar.”

Bu gibi güvenlik açıklarından yararlanan tehditleri önlemede web sunucuları, web uygulamaları ve uygulamaların en iyi dostu güvenlik duvarıdır.

Kaynak

Benzer Haberler

POCO M3 Modelinin Tanıtım Tarihi Resmen Açıklandı

POCO M3 Modelinin Tanıtım Tarihi Resmen Açıklandı

OPPO, Yeni Nesil Artırılmış Gerçeklik Gözlüğünü 17 Kasım’da Tanıtacak

OPPO, Yeni Nesil Artırılmış Gerçeklik Gözlüğünü 17 Kasım’da Tanıtacak

Samsung, Gelecek Yıl Galaxy Note 21 Serisini Piyasaya Sürmeyebilir

Samsung, Gelecek Yıl Galaxy Note 21 Serisini Piyasaya Sürmeyebilir

Huawei Mate Xs Modeli Ekim 2020 EMUI Güvenlik Güncellemesi Alıyor

Huawei Mate Xs Modeli Ekim 2020 EMUI Güvenlik Güncellemesi Alıyor

No Comment

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir