Aspecto del minero de bitcoin de ñame

2

Tuve una máquina virtual basada en Ubuntu 16.04.03 y el único paquete que se le agregó fue OpenVPN. El propósito era proporcionar una VPN en mi red privada ubicada en el entorno de la nube. El hipervisor también es 16.04.03.

El otro día noté una utilización del 100% de la CPU y una vez que inicié la sesión noté un proceso de "ñame" que consumía todos los ciclos de usuario. La búsqueda en Google reveló que es probable que sea un minero de bitcoin.

Ninguna de las otras máquinas virtuales en el sistema o el hipervisor parecían estar afectadas. Tengo 20 núcleos con hipervínculos en ese sistema, por lo que razoné que si el malware hubiera sido capaz de hacerlo, habrían ido después de los 40 subprocesos en lugar de los 2 que obtuvieron.

Así que eliminé el proceso y luego derribé el VM con la intención de reconstruirlo en la mañana. Tontamente no tomé otras acciones.

Por la mañana descubrí que todas las máquinas virtuales en ese sistema estaban caídas y que las contraseñas se habían cambiado en el hipervisor. Podía iniciar sesión a través de una autenticación SSH authorized_key pero no podía sudo con mi contraseña normal. Peor aún, el zpool ZFS había sido destruido. Todas las actualizaciones de Ubuntu se aplicaron.

Así que tuve que ir al sitio de ubicación de co-hosting (afortunadamente local) y recuperar el sistema con acceso a la consola. Pude mostrar la matriz de almacenamiento y las otras máquinas virtuales. Cambié todas las contraseñas (muchas de ellas son un dolor).

Así que mis preguntas son las siguientes:

  1. ¿Qué exploit podría haber sido usado para ingresar a la VPN VM pero no a las otras? Solo esa máquina virtual tenía OpenVPN.

  2. ¿Qué exploit podría haberse utilizado para eliminar la matriz ZFS y las contraseñas en el hipervisor? ¿Es posible que la vulnerabilidad haya sido cerrada por las actualizaciones?

  3. Me parece que si tuvieran acceso de root-shell podrían haber hecho mucho más daño que ellos. ¿Es el hecho de que no lo hicieron a) porque estaban siendo "amables" o b) en realidad no tenían ese nivel de acceso?

Me doy cuenta de que estas preguntas no pueden responderse definitivamente con la información detallada que tengo aquí, pero cualquier orientación o sugerencia de alguien que tenga experiencia con una situación similar probablemente sea útil.

    
pregunta AlanObject 15.02.2018 - 19:07
fuente

1 respuesta

2

Como dijiste, es difícil hacer buenas suposiciones, por lo que esta no es una respuesta completa (habría sido un comentario pero es demasiado largo para eso).

  

Me parece que si tuvieran acceso de shell de root podrían haber hecho mucho más daño que ellos. ¿Es el hecho de que no lo hicieron a) porque estaban siendo "amables" o b) en realidad no tenían ese nivel de acceso?

En mi (limitada) experiencia, los atacantes de servidores a menudo ni siquiera están interesados en el acceso de raíz porque hacen lo que quieren hacer (configurar un correo no deseado, un minero de bitcoins o usar su sistema como proxy para varios propósitos) no lo requiera He administrado servidores conectados a Internet durante 15 años y aún no he encontrado un atacante que estuviera interesado principalmente en la destrucción del sistema que asumió (pero como dije, solo tengo un puñado de casos que puedo analizar). de nuevo a).

  

¿Qué vulnerabilidad podría haberse utilizado para eliminar la matriz ZFS y las contraseñas en el hipervisor? ¿Es posible que la vulnerabilidad haya sido cerrada por las actualizaciones?

Esto es lo que más me preocupa. Me preguntaría cómo los intrusos pudieron tocar el hipervisor. Hay 3 opciones en mi mente:

  1. Atacaron el hipervisor a través de un servicio de red que se ejecuta en el hipervisor (posiblemente ssh si es el único)

  2. Lo atacaron a través del sistema de archivos ZFS compartido (dependiendo de lo que estés compartiendo exactamente en el ZFS, eso es muy probable o casi imposible)

  3. Atacaron la máquina virtual y luego escaparon de la máquina virtual al hipervisor.

La opción 3 me daría pesadillas. Es posible, hay varias demostraciones en conferencias de seguridad, pero no he oído hablar de que esto ocurra en la naturaleza.

Qué hacer

Como sus preguntas casi seguramente no pueden ser respondidas por nadie aquí, tendrá que responderlas usted mismo. Usted hace esto inspeccionando sus sistemas, buscando el punto de entrada del malware.

Si puede tomar una instantánea de su máquina virtual (o incluso mejor, hacer una copia de ella), esta es una buena manera de preservar una posible prueba del método de interrupción. Si no puedes, tendrás que trabajar en la máquina virtual en vivo.

Descubrir cómo un atacante irrumpió en su sistema es importante porque, si no lo hace, no puede confiar en que su sistema no se vuelva a infectar. Así que realmente no hay manera de evitarlo.

Una vez que sepa cómo entraron los atacantes, tendrá que decidir si instalar su sistema desde cero y cerrar el agujero, o tratar de averiguar cuáles fueron los motivos de los atacantes. Si vas por la segunda ruta, corres el riesgo de adivinar mal y dejar un sistema en el que ya no puedes confiar, porque aún podría contener sorpresas maliciosas que dejaron los atacantes.

Votaría por la reinstalación completa, pero a veces por las cosas que un atacante hizo en tu sistema, puedes decir con alta confianza que solo estaba interesado en una sola cosa (como minería de bitcoins), y una vez que la elimines, Puede estar bastante seguro de que su sistema está limpio de nuevo. Aún así, es un riesgo.

    
respondido por el Pascal 15.02.2018 - 20:39
fuente

Lea otras preguntas en las etiquetas