Panulis browser Bulak Moon
Server anu bermasalah ayeuna offline pikeun panalungtikan. Server ti mana sékrési ayeuna disebarkeun
Bulak Moon teu kapangaruhan, masalahna ngan mangaruhan versi Windows heubeul dipasang ti arsip (kaluaran dipindahkeun ka arsip sakumaha versi anyar dileupaskeun). Salila hack, server ngajalankeun Windows sarta ngajalankeun dina mesin virtual disewa ti operator Frantech / BuyVM. Henteu acan écés naon jinis kerentanan anu dieksploitasi sareng naha éta khusus pikeun Windows atanapi mangaruhan sababaraha aplikasi server pihak katilu anu ngajalankeun.
Saatos kéngingkeun aksés, panyerang sacara selektif nginféksi sadaya file exe anu aya hubunganana sareng Pale Moon (pamasang sareng arsip ékstraksi diri) nganggo parangkat lunak Trojan.
Dina 26 Mei 2019, nalika kagiatan dina server panyerang (henteu écés naha éta panyerang anu sami sareng dina hack munggaran atanapi anu sanés), operasi normal archive.palemoon.org kaganggu - host henteu tiasa. pikeun reboot, sarta data ieu ruksak. Ieu kalebet leungitna log sistem, anu tiasa kalebet ngambah langkung rinci anu nunjukkeun sifat serangan. Dina waktos kagagalan ieu, pangurus henteu sadar kana kompromi sareng malikkeun arsip ka operasi nganggo lingkungan dumasar CentOS énggal sareng ngagentos undeuran FTP sareng HTTP. Kusabab kajadian éta henteu diperhatoskeun, file tina cadangan anu parantos kainféksi ditransferkeun ka server énggal.
Nganalisis alesan kamungkinan pikeun kompromi, éta dianggap yén panyerang meunang aksés ku guessing sandi ka akun staf hosting, gaining aksés fisik langsung ka server, narajang hypervisor pikeun meunangkeun kontrol ngaliwatan mesin virtual sejen, hacking panel kontrol web. , intercepting sési desktop jauh (protokol RDP dipaké) atawa ku exploitasi kerentanan dina Windows Server. Tindakan jahat dilaksanakeun sacara lokal dina server nganggo skrip pikeun ngarobih file anu tiasa dieksekusi, sanés ku ngaunduh deui ti luar.
Panulis proyék nyatakeun yén ngan ukur anjeunna ngagaduhan aksés administrator kana sistem, aksés dugi ka hiji alamat IP, sareng OS Windows anu didasarkeun diropéa sareng ditangtayungan tina serangan éksternal. Dina waktos anu sami, protokol RDP sareng FTP dianggo pikeun aksés jauh, sareng parangkat lunak anu berpotensi henteu aman diluncurkeun dina mesin virtual, anu tiasa nyababkeun peretasan. Sanajan kitu, panulis Pale Moon condong yakin yén hack ieu komitmen alatan panyalindungan cukup tina infrastruktur mesin virtual panyadia (contona, dina hiji waktu, ngaliwatan seleksi hiji sandi panyadia aman ngagunakeun panganteur manajemén virtualization baku.
sumber: opennet.ru