Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак.

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система управления уязвимостями нового поколения

    PT Application Inspector

    Анализатор защищенности приложений

    XSpider

    Сканер уязвимостей

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Open Source
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    Клиенты
    Пресс-центр
    Новости
    Инвесторам
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
Меню
  • Главная
  • Исследования
  • PT ESC Threat Intelligence
  • Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149)

Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149)

Дата публикации 10 сентября 2019

Новая волна криптомайнера Sustes теперь использует для заражений июньскую уязвимость в почтовом сервере Exim. Начиная с 11 августа наши сетевые сенсоры PT Network Attack Discovery обнаруживают во входящем сетевом трафике попытки эксплуатации почтовых серверов.

Сканирование происходит с адреса 154.16.67[.]133, и команда в поле RCPT TO ведет к загрузке вредоносного bash-скрипта по адресу http://154.16.67[.]136/main1. Цепочка скриптов приводит к установке на хост XMR-майнера и добавлению его в crontab. Скрипт добавляет свой публичный SSH-ключ в список authorized_keys текущего пользователя, что позволит злоумышленникам в дальнейшем получить беспарольный SSH-доступ к машине.

Кроме того, Sustes пытается распространиться на другие хосты из списка known_hosts по SSH; при этом ожидается, что подключение к ним происходит автоматически по публичному ключу. Процесс заражения повторяется вновь на доступных SSH-хостах.

Есть и еще способ распространения. Sustes исполняет цепочку Python-скриптов, последний из которых — http://154.16.67[.]135/src/sc — содержит сканер случайных Redis-серверов, который также добавляет себя в crontab для автозапуска и свой ключ в список доверенных SSH-ключей на уязвимых Redis-серверах:

    
x = s2.connect_ex((self.host, 6379)) … stt2=chkdir(s2, '/etc/cron.d') rs=rd(s2, 'config set dbfilename crontab\r\n') rs=rd(s2, 'config set dbfilename authorized_keys\r\n') stt3=chkdir(s2, '/root/.ssh')

Избавиться от вредоноса Sustes довольно просто: удалите вредоносные файлы и скрипты с именами из списка ниже, а также очистите файлы crontab и known_hosts от вредоносных записей. Для заражения Sustes эксплуатирует и другие уязвимости, например уязвимость в Hadoop YARN ResourceManager, или использует брутфорс учетных записей.

Автор: Кирилл Шипулин, Positive Technologies

 

IoCs:

Filenames:

/etc/cron.hourly/oanacroner1

/etc/cron.hourly/cronlog

/etc/cron.daily/cronlog

/etc/cron.monthly/cronlog

sustse

.ntp

kthrotlds

npt

wc.conf

 

Urls:

http://154.16.67[.]135/src/ldm

http://154.16.67[.]135/src/sc

http://107.174.47[.]156/mr.sh

http://107.174.47[.]156/2mr.sh

http://107.174.47[.]156/wc.conf

http://107.174.47[.]156/11

http://154.16.67[.]136/mr.sh

http://154.16.67[.]136/wc.conf

 

Custom Monero Pools

185.161.70.34:3333

154.16.67.133:80

205.185.122.99:3333

 

Wallet

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

 

SSH Public key

AAAAB3NzaC1yc2EAAAADAQABAAAsdBAQC1Sdr0tIILsd8yPhKTLzVMnRKj1zzGqtR4tKpM2bfBEx AHyvBL8jDZDJ6fuVwEB aZ8bl/pA5qhFWRRWhONLnLN9RWFx/880msXITwOXjCT3Qa6VpAFPPMazJpbppIg LTkbOEjdDHvdZ8RhEt7tTXc2DoTDcs73EeepZbJmDFP8TCY7hwgLi0XcG8YHkDFoKFUhvSHPkzAsQd9hyOWaI1taLX2VZHAk8rOaYqaRG3URWH3hZvk8Hcgggm2q/IQQa9VLlX4cSM4SifM/ZNbLYAJhH1x3ZgscliZVmjB55wZWRL5oOZztOKJT2oczUuhDHM1qoUJjnxopqtZ5DrA76WH

 

MD5

95e2f6dc10f2bc9eecb5e29e70e29a93

235ff76c1cbe4c864809f9db9a9c0c06

e3363762b3ce5a94105cea3df4291ed4

e4acd85686ccebc595af8c3457070993

885beef745b1ba1eba962c8b1556620d

83d502512326554037516626dd8ef972

 

Файлы скриптов:

Main1 https://pastebin.com/a2rgcgt3

Main1 py snippet https://pastebin.com/Yw2w6J9E

src/sc https://pastebin.com/9UPRKYqy

src/ldm https://pastebin.com/TkjnzPnW

 

Статьи по теме
  • 27 ноября 2020 История одного расследования: целевая атака по ошибке и несостоявшиеся деструктивные действия
  • 17 октября 2019 Операция TA505: изучаем бэкдор ServHelper с NetSupport RAT. Часть 2
  • 16 июня 2020 Cobalt: обновление тактик и инструментов
Поделиться:
Ссылка скопирована
Статьи по теме
8 сентября 2020

ShadowPad: новая активность группировки Winnti

4 декабря 2019

Как создатели вредоносного софта пытаются избежать его обнаружения: разбираем на примере Spy.GmFUToMitm

22 апреля 2020

COVID-19 и новогодние поздравления: исследуем инструменты группировки Higaisa

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • XSpider
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
  • Open Source
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • Клиенты
  • Пресс-центр
  • Новости
  • Инвесторам
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Positive Technologies
Copyright © 2002-2021 Positive Technologies
Мы в социальных сетях:
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта
Copyright © 2002-2021 Positive Technologies
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта