Хакеры устанавливают на Windows-серверы криптомайнеры через уязвимость в IIS 6.0

Киберпреступники эксплуатируют уязвимость в Internet Information Services (IIS) 6.0 для взлома серверов под управлением Windows и установки ПО для майнинга криптовалюты Electroneum. Атаки не являются широко распространенными, поскольку нацелены на устаревшие версии IIS, однако их масштабы довольно впечатляющие.

В ходе атак злоумышленники эксплуатируют уязвимость (CVE–2017–7269) в сервисе IIS WebDAV, обнаруженную в марте прошлого года двумя китайскими исследователями безопасности. На момент обнаружения уязвимость уже активно эксплуатировалась хакерами в течение почти девяти месяцев.

Поначалу Microsoft не планировала выпускать исправление, поскольку к тому времени срок поддержки версии IIS 6.0 и поставляемых с ней ОС (Windows XP и Windows Server 2003) уже истек. Тем не менее, уязвимость имела общие черты с утекшим эксплоитом EXPLODINGCAN Агентства национальной безопасности США, и в середине июня 2017 года производитель все-таки выпустил патч. С тех пор она эксплуатировалась как минимум одной хакерской группировкой для установки на серверы под управлением Windows майнеров криптовалюты Monero.

Как сообщают исследователи из F5 Labs, еще одна хакерская группировка использует ту же уязвимость, но вместо ПО для добычи Monero устанавливает на серверы IIS 6.0 майнеры Electroneum. Через уязвимость злоумышленники устанавливают шелл-код ASCII, содержащий эксплоиты, базирующиеся на возвратно-ориентированном программировании. Эти эксплоиты устанавливают на уязвимый хост реверсивный шелл, который в свою очередь загружает майнер и запускает процесс майнинга.

Для маскировки атаки хакеры используют технику Squiblydoo, предполагающую сокрытие вредоносных операций с помощью легитимных приложений ОС. Кроме того, сам майнер маскируется под легитимный процесс lsass.exe.

В настоящее время в обнаруженном исследователями криптовалютном кошельке хакеров находится лишь $99. Это может свидетельствовать либо о том, что вредоносная кампания только началась, либо о том, что с целью замести свои следы киберпреступники осуществляют ротацию адреса.

IIS – проприетарный набор серверов для ряда служб интернета от компании Microsoft. IIS распространяется с операционными системами семейства Windows NT.

Electroneum – новая криптовалюта, предназначенная для майнинга через мобильное приложение.

Нравится1
Комментарии (2)
  • 0
    Поначалу Microsoft не планировала выпускать исправление

    А зачем? Они же не пострадали, ни сколички.
    Вопрос остается открытым: чьи сервера, кому принадлежали?
  • 0
    правильно, может поймут что 10ка это ошибка
B
i
u
Спойлер