Эксперты по безопасности Trend Micro выявили новую вредоносную программу, атакующую веб-серверы с целью установки на них майнеров криптовалюты Monero. Программа Black Squid использует сразу семь различных эксплойтов, включая печально известный EternalBlue из арсенала Агентства национальной безопасности США.
Monero — электронные монеты, использующие нетрадиционную криптографию для обеспечения повышенной анонимности пользователей. Благодаря этому свойству Monero завоевала популярность на ресурсах даркнета, предоставляющих криминальные услуги.
Кроме EternalBlue, Black Squid использует три эксплойта для разных версий популярного в Азии фреймворка ThinkPHP, а ещё три — для уязвимостей в других программных пакетах.
В частности, вредонос пытается атаковать уязвимость CVE-2014-6287, позволяющую удалённо запускать произвольный код в Rejetto HFS; аналогичную уязвимость в Apache Tomcat CVE-2017-12615 и ещё одну похожую уязвимость в Windows Shell — CVE-2017-8464.
Никаких виртуальных машин, только настоящие
Использование сразу целой стопки эксплойтов — в основном для веб-приложений — позволяет повысить вероятность успешного заражения.
Мало того, Black Squid предпринимает целый ряд мер, чтобы избежать внимания со стороны исследователей вредоносного ПО. В частности, сразу после заражения вредонос сначала пытается выявить признаки функционирования виртуальных машин, «песочниц» и дебаггеров — любых сред, используемой для анализа ПО. Кроме того, Black Squid ищет регистры прерываний для аппаратно устанавливаемых контрольных точек.
Если оказывается, что среда, в которую вторгся вредонос, небезопасна для него, дальнейший процесс заражения и установки майнера останавливается.
Если же оказывается, что скомпрометированная система «пригодна для обитания», вредонос пытается определить, какая видеокарта в нём установлена; если оказывается, что карта произведена NVidia или AMD, вредонос скачивает криптомайнинговый компонент и начинает генерировать криптовалюту.
Однако, помимо этой функции, в программе присутствует целый ряд других: он может повышать свои привилегии в системе, расширять права доступа, красть данные, а также выводить из строя и программное обеспечение, и аппаратную составляющую. Вредонос также способен производить определённые кибератаки на инфраструктуру других компаний.
Тестовый вариант?
Эксперты Trend Micro обнаружили, что хотя вредонос написан очень качественно, автор всё-таки допустил ошибку, приведшую к тому, что один из эксплойтов для ThinkPHP неработоспособен. Вместо единицы («1») используется квадратная скобка («]»). Впрочем, по всей видимости, программа до сих пор находится в процессе разработки, и её назначение может производно меняться.
«Вероятнее всего, авторы стремятся создать очередной «кухонный комбайн», так что криптомайнинг — вряд ли даже будет главной его функцией, когда Black Squid выйдет из «бета-тестирования», — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Важнее, впрочем, то, что в Сети до сих пор сохраняется огромное количество систем — в том числе, серверов, — уязвимых перед эксплойтом EternalBlue. О нём известно уже два года, и все необходимые патчи давно опубликованы, однако владельцы серверов не торопятся их использовать. А следовательно, этот эксплойт остаётся «универсальной отмычкой», и атаки, производимые с его помощью, ещё долго не прекратятся.