| 关键词:攻击者 受害者 接口 IPMI 服务器 单用户 JungleSec 密码 加密 文件 |
![]() 自11月初以来,一种名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。最初人们只看到受害者使用Windows、Linux和Mac,但没有迹象表明他们是如何被感染的。此后,BleepingComputer的人员与多名感染了JungleSec勒索软件的Linux服务器受害者进行沟通后发现,受害者们都是通过不安全的IPMI设备被感染。 IPMI是内置于服务器主板中的管理界面,或作为附加卡安装,允许管理员远程管理计算机,打开和关闭计算机电源,获取系统信息以及访问可为用户提供远程控制台访问权限的KVM。尤其是在远程配置中心的其他公司租用服务器时,它为管理服务器提供了极大便利。但是,如果未正确配置IPMI接口,则可能允许攻击者使用默认凭据远程连接并控制服务器。 通过IPMI安装JungleSec在BleepingComputer和两名受害者之间的对话中,研究人员发现攻击者通过服务器的IPMI接口安装了JungleSec勒索软件。在一种情况下,IPMI接口使用默认的制造商密码。另一位受害者表示管理员用户已被禁用,但攻击者仍然可以通过可能的漏洞获取访问权限。 一旦用户获得了对服务器的访问权限(在这两种情况下都是Linux),攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式,他们就下载并编译了ccrypt加密程序。 其中一名受害者在twitter上发帖称,一旦下载了ccrypt,攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于: /usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib 输入此命令将提示攻击者输入密码,该密码随后将用于加密文件。 另一名受害者Alex Negulescu告诉BleepingComputer,攻击者会在执行sudo命令时显示一条消息,该命令表明受害者应该读取ENCRYPTED.md文件。 ENCRYPTED.md文件是JungleSec Ransomware的勒索信息,如下所示。这张赎金说明包含联系攻击者[email protected]的信息提示,要求将3比特币发送到随附的比特币地址以便恢复文件。 ![]() 此外,Twitter上名为pupper的受害者表示,攻击者还搜索并安装了虚拟机磁盘,但无法正确加密它们。“他们安装了所有qemu/kvm磁盘,这样他们也可以加密vm中的所有文件。但是黑客从来没有感染过超过1个无用的主目录和1个KVM机器。”攻击者还留下了一个侦听TCP端口64321的后门,并创建了一个允许访问此端口的防火墙规则。目前还不清楚安装了什么程序作为后门程序。 最后,还出现了一种特别的情况:有多个受害者支付勒索软件的报告,但没有收到攻击者的回复,也无法恢复他们的数据。 如何保护IPMI接口
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。 |
| 本文出处: https://www.toutiao.com/a6639856060754559495/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|