EternalRed
EternalRed et SambaCry sont les désignations infosec données à la vulnérabilité CVE-2017-7494 qui affecte les systèmes basés sur * nix. Plus précisément, il était présent dans les versions de Samba à partir de la 3.5.0 sortie en 2010 jusqu'aux versions 4.6.4 / 4.5.10 / 4.4.14 du paquet lors de sa mise à jour. Bien que la vulnérabilité ait été associée au tristement célèbre exploit EternalBlue , EternalRed a été détecté pour la première fois dans la chaîne d'attaque de pirates informatiques qui ne livraient pas de menaces de ransomware telles que WannaCry mais abandonnaient à la place un mineur de crypto-monnaie.
La vulnérabilité permettait à une charge utile sous la forme d'un plug-in Samba de recevoir des super-privilèges. Cependant, les cybercriminels devaient deviner le chemin complet de la charge utile abandonnée, en commençant par le répertoire racine. En cas de succès, les hackers procèdent au prêt et exécutent le fichier dans le cadre du processus du serveur Samba. Le fichier est ensuite supprimé, laissant la charge utile fonctionner entièrement dans la mémoire du système compromis. Les chercheurs ont observé que les charges utiles étaient livrées via la vulnérabilité EternalRed.
Le premier s'appelait INAebsGB.so et portait un reverse-shell qui, une fois lancé, donnait à l'attaquant presque toute la liberté d'exécuter à distance toutes les commandes du shell. En pratique, les pirates pourraient télécharger des applications supplémentaires sur Internet et les exécuter sur le système compromis ou, s'ils le souhaitaient, supprimer simplement toutes les données de l'utilisateur.
L'autre charge utile qui a exploité EternalRed est cblRWuoCc.so. Son objectif principal est la livraison de CpuMiner , un outil d'extraction de crypto-monnaie open-source. La version particulière de cpuminer utilisée dans l'attaque a été modifiée pour pouvoir s'exécuter sans aucun paramètre supplémentaire. En conséquence, il a livré toutes les pièces de crypto-monnaie générées directement dans le portefeuille des pirates. Quant à la devise spécifique cblRWuoCc.so, elle a été créée pour miner Monero (XMR). En suivant l'adresse du portefeuille, les chercheurs en cybersécurité ont découvert que les pièces Monero qui lui étaient livrées augmentaient rapidement. D'une seule pièce le premier jour de la campagne à environ cinq au cours des périodes ultérieures. Après un mois d'activité de crypto-minage, les pirates avaient réussi à amasser 98 pièces XMR, ce qui équivalait à environ 5500 $ à l'époque.
