Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак.

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система управления уязвимостями нового поколения

    PT Application Inspector

    Анализатор защищенности приложений

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    XSpider

    Сканер уязвимостей

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Open Source
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    Клиенты
    Пресс-центр
    Новости
    Инвесторам
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
Меню
  • Главная
  • Исследования
  • PT ESC Threat Intelligence
  • Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149)

Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149)

Дата публикации 10 сентября 2019

Новая волна криптомайнера Sustes теперь использует для заражений июньскую уязвимость в почтовом сервере Exim. Начиная с 11 августа наши сетевые сенсоры PT Network Attack Discovery обнаруживают во входящем сетевом трафике попытки эксплуатации почтовых серверов.

Сканирование происходит с адреса 154.16.67[.]133, и команда в поле RCPT TO ведет к загрузке вредоносного bash-скрипта по адресу http://154.16.67[.]136/main1. Цепочка скриптов приводит к установке на хост XMR-майнера и добавлению его в crontab. Скрипт добавляет свой публичный SSH-ключ в список authorized_keys текущего пользователя, что позволит злоумышленникам в дальнейшем получить беспарольный SSH-доступ к машине.

Кроме того, Sustes пытается распространиться на другие хосты из списка known_hosts по SSH; при этом ожидается, что подключение к ним происходит автоматически по публичному ключу. Процесс заражения повторяется вновь на доступных SSH-хостах.

Есть и еще способ распространения. Sustes исполняет цепочку Python-скриптов, последний из которых — http://154.16.67[.]135/src/sc — содержит сканер случайных Redis-серверов, который также добавляет себя в crontab для автозапуска и свой ключ в список доверенных SSH-ключей на уязвимых Redis-серверах:

    
x = s2.connect_ex((self.host, 6379)) … stt2=chkdir(s2, '/etc/cron.d') rs=rd(s2, 'config set dbfilename crontab\r\n') rs=rd(s2, 'config set dbfilename authorized_keys\r\n') stt3=chkdir(s2, '/root/.ssh')

Избавиться от вредоноса Sustes довольно просто: удалите вредоносные файлы и скрипты с именами из списка ниже, а также очистите файлы crontab и known_hosts от вредоносных записей. Для заражения Sustes эксплуатирует и другие уязвимости, например уязвимость в Hadoop YARN ResourceManager, или использует брутфорс учетных записей.

Автор: Кирилл Шипулин, Positive Technologies

 

IoCs:

Filenames:

/etc/cron.hourly/oanacroner1

/etc/cron.hourly/cronlog

/etc/cron.daily/cronlog

/etc/cron.monthly/cronlog

sustse

.ntp

kthrotlds

npt

wc.conf

 

Urls:

http://154.16.67[.]135/src/ldm

http://154.16.67[.]135/src/sc

http://107.174.47[.]156/mr.sh

http://107.174.47[.]156/2mr.sh

http://107.174.47[.]156/wc.conf

http://107.174.47[.]156/11

http://154.16.67[.]136/mr.sh

http://154.16.67[.]136/wc.conf

 

Custom Monero Pools

185.161.70.34:3333

154.16.67.133:80

205.185.122.99:3333

 

Wallet

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

 

SSH Public key

AAAAB3NzaC1yc2EAAAADAQABAAAsdBAQC1Sdr0tIILsd8yPhKTLzVMnRKj1zzGqtR4tKpM2bfBEx AHyvBL8jDZDJ6fuVwEB aZ8bl/pA5qhFWRRWhONLnLN9RWFx/880msXITwOXjCT3Qa6VpAFPPMazJpbppIg LTkbOEjdDHvdZ8RhEt7tTXc2DoTDcs73EeepZbJmDFP8TCY7hwgLi0XcG8YHkDFoKFUhvSHPkzAsQd9hyOWaI1taLX2VZHAk8rOaYqaRG3URWH3hZvk8Hcgggm2q/IQQa9VLlX4cSM4SifM/ZNbLYAJhH1x3ZgscliZVmjB55wZWRL5oOZztOKJT2oczUuhDHM1qoUJjnxopqtZ5DrA76WH

 

MD5

95e2f6dc10f2bc9eecb5e29e70e29a93

235ff76c1cbe4c864809f9db9a9c0c06

e3363762b3ce5a94105cea3df4291ed4

e4acd85686ccebc595af8c3457070993

885beef745b1ba1eba962c8b1556620d

83d502512326554037516626dd8ef972

 

Файлы скриптов:

Main1 https://pastebin.com/a2rgcgt3

Main1 py snippet https://pastebin.com/Yw2w6J9E

src/sc https://pastebin.com/9UPRKYqy

src/ldm https://pastebin.com/TkjnzPnW

 

Статьи по теме
  • 8 сентября 2020 ShadowPad: новая активность группировки Winnti
  • 27 ноября 2020 История одного расследования: целевая атака по ошибке и несостоявшиеся деструктивные действия
  • 4 декабря 2019 Как создатели вредоносного софта пытаются избежать его обнаружения: разбираем на примере Spy.GmFUToMitm
Поделиться:
Ссылка скопирована
Статьи по теме
15 августа 2019

IronPython на стороне зла: как мы раскрыли кибератаку на госслужбы европейской страны

14 января 2021

Higaisa или Winnti? Старые и новые бэкдоры APT41

11 ноября 2019

Операция TA505: близнецы. Часть 4

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • XSpider
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • PT Network Attack Discovery
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
  • Open Source
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • Клиенты
  • Пресс-центр
  • Новости
  • Инвесторам
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Positive Technologies
Copyright © 2002-2021 Positive Technologies
Мы в социальных сетях:
  • Правила использования
  • Политика конфиденциальности
  • Информация в ленте Интерфакс
  • Карта сайта
Copyright © 2002-2021 Positive Technologies
  • Правила использования
  • Политика конфиденциальности
  • Информация в ленте Интерфакс
  • Карта сайта