Muhstik Malware: A hibákat jól kihasználó botnet
Table of Contents
Mi az a Muhstik Malware?
A Muhstik rosszindulatú szoftverek egyfajta rosszindulatú szoftverek, amelyeket elsősorban arról ismernek fel, hogy képes megcélozni a dolgok internete (IoT) eszközöket és Linux-alapú szervereket. Az először 2018-ban dokumentált Muhstik hírhedtté vált a biztonsági rések kihasználásával a rendszerekbe való behatolás érdekében. A rosszindulatú program nevét arról kapta, hogy az észlelés elkerülése érdekében legitim rendszerfolyamatoknak álcázza magát. Különböző támadási kampányokban figyelték meg, kihasználva a webalkalmazások ismert biztonsági hibáit az új gazdagépek terjedésére és megfertőzésére.
Mit csinál a Muhstik malware?
A Muhstik malware sokrétű rosszindulatú tevékenysége. Elsődleges funkciói közé tartozik a kriptovaluta bányászata és az elosztott szolgáltatásmegtagadási (DDoS) támadások indítása. Miután beszivárgott egy rendszerbe, a Muhstik kriptovalutákat bányászik az eszköz feldolgozási teljesítményének eltérítésével, ami jelentősen lelassíthatja a rendszert és növelheti az áramfogyasztást. Ezenkívül eláraszthatja a célzott szervereket forgalommal, túlterhelve azokat, és szolgáltatási zavarokat okozhat. Ez a kettős funkció teszi a Muhstikot sokoldalú és veszélyes fenyegetést a fertőzött rendszerekre.
Hogyan terjed a Muhstik malware
A Muhstik kártevők terjedése nagymértékben függ az ismert biztonsági rések kihasználásától. Figyelemre méltó példa a CVE-2023-33246 kihasználása, amely az Apache RocketMQ kritikus hibája 9,8-as CVSS-pontszámmal. Ez a biztonsági rés lehetővé teszi a távoli és hitelesítés nélküli támadók számára tetszőleges kód futtatását a RocketMQ protokoll tartalmának manipulálásával vagy a frissítési konfigurációs funkció használatával. Miután a támadó megszerzi a kezdeti hozzáférést, végrehajt egy shell szkriptet egy távoli szerverről, amely ezután letölti a Muhstik bináris fájlt ("pty3"). A rosszindulatú program azáltal biztosítja a fennmaradást, hogy több könyvtárba másolja magát, és módosítja az /etc/inittab fájlt, hogy a rendszerindításkor automatikusan újrainduljon.
Mit akar a Muhstik Malware
A Muhstik malware elsődleges célja, hogy a fertőzött eszközöket botnetbe gyűjtse. Ez a botnet ezután különféle aljas célokra használható, például kriptovaluta bányászathoz és DDoS támadásokhoz. Számos eszköz számítási erőforrásainak irányításával a Muhstik jelentős bevételt termelhet kriptovaluta bányászatával. Ezenkívül a botnet erőteljes DDoS támadásokat indíthat, amelyek megzavarhatják az online szolgáltatásokat, anyagi károkat okozhatnak, és zsarolási eszközként használhatók fel.
Mit támad a Muhstik malware?
A Muhstik eszközök széles skáláját célozza meg, különös tekintettel az IoT-eszközökre és a Linux-alapú szerverekre. Ezeket a célpontokat gyakran nagy sérülékenységük és széles körben elterjedt használatuk miatt választják. A rosszindulatú program a webalkalmazások és -szolgáltatások biztonsági hibáit használja ki a kezdeti hozzáférés megszerzéséhez. Az Apache RocketMQ például a közelmúltban célpont volt kritikus biztonsági rés miatt. A Muhstik azon képessége, hogy rendszer-metaadatokat gyűjtsön össze, és oldalirányban mozogjon a Secure Shell (SSH) felett, tovább bővíti hatókörét a fertőzött hálózatokon belül.
Megelőzési intézkedések
A Muhstik rosszindulatú programokkal való fertőzésének megelőzése proaktív megközelítést igényel a kiberbiztonság terén. Íme néhány kulcsfontosságú intézkedés:
- Rendszeres frissítések : Gondoskodjon arról, hogy minden szoftver, különösen a webalkalmazások és a szerverszoftverek, például az Apache RocketMQ frissüljön a legújabb verzióra. Az ismert sérülékenységek javításait haladéktalanul fel kell helyezni a kihasználás megelőzése érdekében.
- Hálózati szegmentáció : A hálózatok szegmentálása korlátozhatja a rosszindulatú programok terjedését a szervezeten belül. A kritikus rendszerek elkülönítésével csökkenti a rosszindulatú szereplők oldalirányú mozgásának kockázatát.
- Erős hitelesítés : Erős hitelesítési mechanizmusokat, például többtényezős hitelesítést (MFA) valósítson meg az érzékeny rendszerekhez való hozzáférés védelme érdekében. Ez csökkenti a jogosulatlan hozzáférés kockázatát a feltört hitelesítő adatokon keresztül.
- Felügyelet és audit : Rendszeresen figyelje a rendszereket a szokatlan tevékenységeket keresve, az auditnaplókat pedig a kompromisszum jeleiért. A korai felismerés segíthet enyhíteni a fertőzés hatását.
- Biztonsági szoftver : Használjon átfogó biztonsági megoldásokat, amelyek magukban foglalják a rosszindulatú programok észlelését, a behatolásérzékelő rendszereket (IDS) és a tűzfalakat. Ezek az eszközök további védelmet nyújthatnak a rosszindulatú programok, például a Muhstik ellen.
- Felhasználó oktatása : Tájékoztassa a felhasználókat a rosszindulatú programok veszélyeiről és a legjobb biztonsági gyakorlatok betartásának szükségességéről. Az adathalászat és a közösségi manipuláció gyakran alkalmazott technikák a kezdeti hozzáférés eléréséhez.
A Muhstik kártevők megértésével és ezen megelőző intézkedések végrehajtásával a szervezetek jelentősen csökkenthetik a fertőzés kockázatát, és megvédhetik rendszereiket ettől a sokoldalú és tartós fenyegetéstől.