Η Microsoft ανακάλυψε ένα νέο Windows/Linux botnet με το όνομα MCCrash που χρησιμοποιείται σε επιθέσεις DDoS.
Οι ερευνητές της Microsoft ανακάλυψαν ένα πρωτοφανές botnet Windows-Linux που αξιοποιεί μια αποτελεσματική τακτική για να ρίξει τους servers του Minecraft και να εξαπολύσει κατανεμημένες επιθέσεις denial-of-service εναντίον άλλων πλατφορμών.
Το DEV-1028, είναι ένα botnet πολλαπλών πλατφορμών που μολύνει μηχανήματα Windows, συστήματα Linux και συσκευές IoT. Η καινοτόμος τεχνική εξάπλωσής του καθιστά αυτό το botnet μια μοναδική απειλή: παρόλο που ο υπολογιστής προέλευσης μπορεί να αποκατασταθεί από τη μόλυνση, η παρουσία μη ελεγχόμενου εξοπλισμού IoT στα δίκτυα μπορεί να επιτρέψει την παραμονή και τη λειτουργία του μηχανήματος στο πλαίσιο του ίδιου botnet.
Το MCCrash είναι ένα κακόβουλο botnet που στοχεύει τόσο σε συστήματα Windows όσο και σε συστήματα Linux για να διευκολύνει τις επιθέσεις DDoS. Μια αναπόσπαστη εντολή στο λογισμικό του botnet, η ‘ATTACK_MCCRASH’, διαταράσσει τους servers Minecraft γεμίζοντας τη σελίδα σύνδεσής τους με ${env:random payload of specific size:-a}. Αυτή η συμβολοσειρά εξαντλεί τους πόρους του server μέχρι να καταρρεύσει, δημιουργώντας περαιτέρω χάος στα θύματά του.
Οι ερευνητές της Microsoft αποκάλυψαν πρόσφατα ότι η κατάχρηση της μεταβλητής env προκαλεί τη χρήση του Log4j 2 library, οδηγώντας σε έντονη υπερκατανάλωση πόρων – εντελώς άσχετη με την ευπάθεια του Log4Shell. Ειδικότερα, διάφορες εκδόσεις server Minecraft κινδυνεύουν από αυτή την ισχυρή και αποτελεσματική προσέγγιση DDoS.
Προς το παρόν, το MCCrash περιορίζεται στο να επιτίθεται μόνο στην έκδοση 1.12.2 του λογισμικού server Minecraft. Ωστόσο, η μεθοδολογία επίθεσής του έχει αποδειχθεί αποτελεσματική ενάντια σε servers που λειτουργούν με εκδόσεις από 1.7.2 έως 1.18.2 – ουσιαστικά αντιπροσωπεύει τους μισούς server Minecraft στον κόσμο! Προκειμένου ο αντίκτυπος αυτών των εγκληματιών του κυβερνοχώρου να είναι πολύ πιο διαδεδομένος και επιζήμιος, θα έπρεπε απλώς να ενημερώσουν ανάλογα το κακόβουλο λογισμικό τους. Ευτυχώς όμως αυτό το κενό ασφαλείας έκλεισε με την εισαγωγή της έκδοσης 1.19 του Minecraft.
Οι ερευνητές της Microsoft προειδοποιούν για τις πιθανές συνέπειες που μπορεί να προκαλέσει αυτό το malware εάν ενημερωθεί για να στοχεύσει περισσότερες εκδόσεις πέρα από την 1.12.2, ειδικά δεδομένου ότι η ικανότητά του να εισχωρεί σε μη ελεγχόμενες συσκευές IoT ενισχύει τη δύναμή του και μειώνει την πιθανότητα εντοπισμού του.
Δείτε επίσης: Η Uber έπεσε για άλλη μια φορά θύμα παραβίασης δεδομένων
Το σημείο μόλυνσης του MCCrash ξεκινά από συσκευές με λειτουργικό σύστημα Microsoft OS που έχουν εξαπατηθεί για να κατεβάσουν υποτιθέμενο “πειρατικό” λογισμικό. Αυτός ο κακόβουλος κώδικας είναι κρυμμένος στο αρχείο λήψης και μολύνει τη συσκευή, με τελικό αποτέλεσμα την εγκατάσταση του malicious.py – ένα script python που περιέχει την πρωταρχική λογική για το botnet. Στη συνέχεια, οι μηχανές Windows λαμβάνουν οδηγίες να σαρώνουν διάφορα μέρη του Διαδικτύου αναζητώντας ευάλωτα συστήματα Debian, Ubuntu, CentOS και IoT που δέχονται συνδέσεις SSH.
Το MCCrash έχει τη δυνατότητα να προκαλέσει τεράστια ζημιά, χρησιμοποιώντας προεπιλεγμένα login credentials και εκτελώντας ένα κακόβουλο script malicious.py σε στοχευμένες συσκευές Linux. Οι συσκευές Linux συνδέονται με μηχανές Windows, προκειμένου να σχηματίσει το MCCrash ένα botnet που πραγματοποιεί όχι μόνο επιθέσεις Minecraft αλλά και άλλους τύπους DDoS.
Σύμφωνα με μια ολοκληρωμένη ανάλυση των συσκευών που μολύνθηκαν από το MCCrash, οι περισσότερες από αυτές βρίσκονται στη Ρωσία. Η Microsoft απέτυχε να παράσχει ακριβή αριθμό- ωστόσο, οι ερευνητές της υποθέτουν ότι οι κακόβουλοι χρήστες botnet το χρησιμοποιούν για την εμπορία υπηρεσιών DDoS σε σκοτεινά διαδικτυακά φόρουμ.
Για να μπορέσουν οι οργανισμοί να προστατεύσουν τα δίκτυα και τις συσκευές τους από απειλές τύπου MCCrash, πρέπει να εφαρμοστούν οι βασικές αρχές των ασφαλών ταυτοτήτων και του περιορισμού της πρόσβασης. Η συνοδευτική ανάρτηση της Microsoft στο blog συνιστά τα ακόλουθα βήματα για βέλτιστη ασφάλεια:
- Αποφύγετε τη λήψη εργαλείων cracking, καθώς χρησιμοποιούνται καταχρηστικά για τη διάδοση κακόβουλου λογισμικού.
- Βεβαιωθείτε ότι το δίκτυό σας είναι ασφαλές, χρησιμοποιώντας μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων, όπως το Azure Active Directory (τώρα μέρος του Microsoft Entra) MFA για πρόσθετη προστασία.
- Για να μεγιστοποιήσετε την ασφάλεια των συσκευών σας IoT και OT, είναι απαραίτητο να επενδύσετε σε μια ολοκληρωμένη λύση όπως το Microsoft Defender for IoT. Αυτό παρέχει ορατότητα στην κατάσταση κάθε συσκευής, γρήγορους χρόνους ανίχνευσης και απόκρισης απειλών, καθώς και ενσωμάτωση με πλατφόρμες SIEM/SOAR, όπως το Microsoft Sentinel και το Microsoft 365 Defender.
- Αν φιλοξενείτε τον δικό σας server Minecraft, φροντίστε να τον αναβαθμίσετε στην έκδοση 1.19.1 ή νεότερη για βέλτιστη απόδοση και ασφάλεια!
Δείτε επίσης: FBI: Κατάσχεσε 48 domain που σχετίζονταν με DDoS επιθέσεις
Η ανακάλυψη αυτού του κακόβουλου botnet Windows/Linux χρησιμεύει ως μια ακόμη υπενθύμιση ότι οι εγκληματίες του κυβερνοχώρου θα κάνουν τα πάντα όταν εξαπολύουν επιθέσεις DDoS εναντίον επιχειρήσεων ή άλλων οργανισμών. Με δισεκατομμύρια συσκευές συνδεδεμένες στο διαδίκτυο σήμερα, είναι σημαντικό για τους οργανισμούς σε όλο τον κόσμο να γνωρίζουν αυτούς τους τύπους απειλών, ώστε να μπορούν να προστατευτούν αναλόγως.
Πηγή: arstechnica.com
