自11月初以来,一种名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。最初人们只看到受害者使用Windows、Linux和Mac,但没有迹象表明他们是如何被感染的。此后,BleepingComputer的人员与多名感染了JungleSec勒索软件的Linux服务器受害者进行沟通后发现,受害者们都是通过不安全的IPMI设备被感染。
IPMI是内置于服务器主板中的管理界面,或作为附加卡安装,允许管理员远程管理计算机,打开和关闭计算机电源,获取系统信息以及访问可为用户提供远程控制台访问权限的KVM。尤其是在远程配置中心的其他公司租用服务器时,它为管理服务器提供了极大便利。但是,如果未正确配置IPMI接口,则可能允许攻击者使用默认凭据远程连接并控制服务器。
通过IPMI安装JungleSec
在BleepingComputer和两名受害者之间的对话中,研究人员发现攻击者通过服务器的IPMI接口安装了JungleSec勒索软件。在一种情况下,IPMI接口使用默认的制造商密码。另一位受害者表示管理员用户已被禁用,但攻击者仍然可以通过可能的漏洞获取访问权限。
一旦用户获得了对服务器的访问权限(在这两种情况下都是Linux),攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式,他们就下载并编译了ccrypt加密程序。
其中一名受害者在twitter上发帖称,一旦下载了ccrypt,攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于:
/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib
输入此命令将提示攻击者输入密码,该密码随后将用于加密文件。
另一名受害者Alex Negulescu告诉BleepingComputer,攻击者会在执行sudo命令时显示一条消息,该命令表明受害者应该读取ENCRYPTED.md文件。
ENCRYPTED.md文件是JungleSec Ransomware的勒索信息,如下所示。这张赎金说明包含联系攻击者junglesec@anonymousspeech.com的信息提示,要求将3比特币发送到随附的比特币地址以便恢复文件。
此外,Twitter上名为pupper的受害者表示,攻击者还搜索并安装了虚拟机磁盘,但无法正确加密它们。“他们安装了所有qemu/kvm磁盘,这样他们也可以加密vm中的所有文件。但是黑客从来没有感染过超过1个无用的主目录和1个KVM机器。”攻击者还留下了一个侦听TCP端口64321的后门,并创建了一个允许访问此端口的防火墙规则。目前还不清楚安装了什么程序作为后门程序。
最后,还出现了一种特别的情况:有多个受害者支付勒索软件的报告,但没有收到攻击者的回复,也无法恢复他们的数据。
如何保护IPMI接口
- IPMI接口可以直接集成到服务器主板中,也可以通过安装在计算机中的附加卡接入。如果您使用的是IPMI接口,则必须正确保护它们,以便攻击者无法利用它们来破坏服务器。
- 保护IPMI接口的第一步是更改默认密码。大多卡的出厂默认密码都为Admin / Admin,易于猜测,因此必须立即更改密码。
- 管理员还应配置仅允许某些IP地址访问IPMI接口的ACL。此外,IPMI接口应配置为仅侦听内部IP地址,以便只能由本地管理员或VPN连接访问。
- 为GRUB引导加载程序添加密码。这样做会使从IPMI远程控制台重新启动到单用户模式变得更加困难。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。