Cybereason မှ လုံခြုံရေးသုတေသီများ ကြီးမားသော အလိုအလျောက် အသုံးချတိုက်ခိုက်မှုကို ဖော်ထုတ်ခြင်းနှင့် ပတ်သက်၍ ဆာဗာ စီမံခန့်ခွဲသူများကို စာပို့ပါ။ Exim တွင် (CVE-2019-10149) ကို ပြီးခဲ့သည့်အပတ်က ရှာဖွေတွေ့ရှိခဲ့သည်။ တိုက်ခိုက်မှုအတွင်း၊ တိုက်ခိုက်သူများသည် ၎င်းတို့၏ကုဒ်ကို root လုပ်ပိုင်ခွင့်ဖြင့် လုပ်ဆောင်ပြီး cryptocurrencies တူးဖော်ရန်အတွက် ဆာဗာတွင် malware ထည့်သွင်းပါ။
ဇွန်လ အရ သိရသည်။ Exim ၏ဝေစုသည် 57.05% (လွန်ခဲ့သည့်တစ်နှစ်က 56.56%)၊ Postfix ကို မေးလ်ဆာဗာများ၏ 34.52% (33.79%)၊ Sendmail - 4.05% (4.59%)၊ Microsoft Exchange - 0.57% (0.85%)။ အားဖြင့် Shodan ဝန်ဆောင်မှုသည် Exim 3.6 ၏ နောက်ဆုံးထွက်ရှိမှုကို နောက်ဆုံးထွက်အဆင့်သို့ အပ်ဒိတ်မလုပ်ရသေးသော ကမ္ဘာလုံးဆိုင်ရာကွန်ရက်ရှိ မေးလ်ဆာဗာ 4.92 သန်းကျော်အတွက် အားနည်းချက်ရှိနေနိုင်ချေရှိသည်။ အားနည်းချက် ဖြစ်နိုင်ချေရှိသော ဆာဗာ ၂ သန်းခန့်သည် အမေရိကန်ပြည်ထောင်စုတွင် တည်ရှိပြီး ရုရှားတွင် ၁၉၂ဝဝဝ ရှိသည်။ အားဖြင့် RiskIQ ကုမ္ပဏီသည် Exim ဖြင့် ဆာဗာ 4.92% ၏ ဗားရှင်း 70 သို့ ပြောင်းပြီးဖြစ်သည်။
အက်ဒမင်များသည် လွန်ခဲ့သည့်အပတ်က ဖြန့်ချီရေးကိရိယာများဖြင့် ပြင်ဆင်ထားသော မွမ်းမံမှုများကို အရေးပေါ်တပ်ဆင်ရန် အကြံပြုထားသည် (, , , , , ) အကယ်၍ စနစ်တွင် အားနည်းချက်ရှိသော Exim ဗားရှင်းတစ်ခု (4.87 မှ 4.91 အထိပါဝင်သည်) ရှိပါက၊ သင်သည် သံသယဖြစ်ဖွယ်ခေါ်ဆိုမှုများအတွက် crontab ကိုစစ်ဆေးပြီး /root/ တွင် အပိုသော့များမရှိကြောင်းသေချာစေခြင်းဖြင့် စနစ်သည် အပေးအယူမခံရကြောင်းသေချာရန်လိုအပ်ပါသည်။ ssh လမ်းညွှန်။ malware ဒေါင်းလုဒ်လုပ်ရန်အသုံးပြုသည့် hosts an7kmd2wp4xo7hpr.tor2web.su၊ an7kmd2wp4xo7hpr.tor2web.io နှင့် an7kmd2wp4xo7hpr.onion.sh တို့မှ firewall မှတ်တမ်းတွင် တိုက်ခိုက်မှုတစ်ခုအား ညွှန်ပြနိုင်သည်။
Exim ဆာဗာများကို တိုက်ခိုက်ရန် ပထမဆုံး ကြိုးပမ်းမှုများ ဇွန်လ ၉ ရက်၊ ဇွန်လ ၁၃ ရက်နေ့ နောက်ဆုံးထားပြီး တိုက်ခိုက်တယ်။ ဇာတ်ကောင်။ tor2web gateways မှတဆင့် အားနည်းချက်ကို အသုံးချပြီးနောက်၊ script တစ်ခုကို Tor hidden service (an7kmd2wp4xo7hpr) မှ OpenSSH ၏ ပါဝင်မှုကို စစ်ဆေးပေးသည် (မဟုတ်ပါက၊ ) ၎င်း၏ ဆက်တင်များကို ပြောင်းလဲခြင်း ( root login နှင့် key authentication) နှင့် user ကို root လုပ်ရန် သတ်မှတ်ပေးသည်။ SSH မှတစ်ဆင့် စနစ်သို့ အခွင့်ထူးခံဝင်ရောက်ခွင့်ကို ပေးဆောင်သည်။
Backdoor ကို စနစ်ထည့်သွင်းပြီးနောက်၊ အခြားအားနည်းချက်ရှိသော ဆာဗာများကို သိရှိနိုင်ရန် စနစ်တွင် ဆိပ်ကမ်းစကင်နာကို ထည့်သွင်းထားသည်။ စနစ်သည် ဖော်ထုတ်ပါက ဖျက်ပစ်မည့် ရှိပြီးသား သတ္တုတွင်းစနစ်များကိုလည်း ရှာဖွေသည်။ နောက်ဆုံးအဆင့်တွင်၊ သင်၏ကိုယ်ပိုင်သတ္တုတွင်းတူးခြင်းကို ဒေါင်းလုဒ်လုပ်ပြီး crontab တွင် မှတ်ပုံတင်ထားသည်။ မိုင်းတွင်းလုပ်သားသည် ico ဖိုင်၏အသွင်ဆောင်မှုအောက်တွင် ဒေါင်းလုဒ်လုပ်ထားသည် (တကယ်တော့ ၎င်းသည် စကားဝှက် “no-password” ပါရှိသော ဇစ်မှတ်တမ်း)၊ Linux အတွက် ELF ဖော်မတ်ရှိ Glibc 2.7+ ဖြင့် executable ဖိုင်တစ်ခုပါရှိသည်။
source: opennet.ru