Gündem

JungleSec Fidye Yazılımı IPMI İle Kurbanları Etkiliyor

JungleSec adlı bir fidye yazılımı, Kasım ayının başından beri güvenli olmayan IPMI(Akıllı Platform Yönetim Arabirimi) kartları yoluyla mağdurları etkiliyor.
Yazılım Kasım ayı başlarında rapor edildiğinde,kurbanlar Windows, Mac ve Linux kullanılarak görülüyordu, ancak nasıl enfekte olduklarına dair herhangi bir belirti yoktu. O zamandan beri, şirketlerin Linux sunucularına JungleSec Ransomware bulaşmış birden fazla kurbanla konuşuldu ve hepsi aynı şeyi belirtti;” Güvenli olmayan IPMI cihazlarından etkilendik.”.
IPMI, sunucu ana kartlarına yerleşik veya yöneticilerin bilgisayarı uzaktan yönetmesine, bilgisayarı açıp kapatmasına, sistem bilgilerini almasına ve size uzaktan kontrol erişimi sağlayan bir KVM’ye erişmesine olanak sağlayan ve ek kart olarak ana karta takılan yönetim arabirimidir.
Bu, özellikle uzak bir sıralama merkezindeki başka bir şirketten sunucu kiralarken sunucuları yönetmek için sonra derece kullanışlıdır. IPMI arayüzü uygun şekilde yapılandırılmadıysa, saldırganların varsayılan kimlik bilgilerini kullanarak sunucularınıza uzaktan bağlanmasına ve kontrolünü ele geçirmesine izin verebilir.

JungleSec’in IPMI ile Kurulumu

İki kurban arasında yapılan konuşmalarda, saldırganların JungleSec Ransomware’i sunucunun IPMI arayüzü üzerinden kurdukları tespit edildi. Bir durumda, IPMI arayüzü varsayılan üretici şifrelerini kullanıyordu. Diğer mağdur, yönetici kullanıcısının devre dışı bırakıldığıını, ancak saldırganın olası güvenlik açıkları yoluyla hala erişim sağlayabildiğini belirtti.
Kullanıcı; “Her iki durumda da Linux olan sunucularına erişim kazandığında, saldırganlar kök erişimi sağlamak için bilgisayarı tek kullanıcı modunda yeninden başlatırlar.”dedi.
Tek kullanıcı modundayken, ccrypt şifreleme programını indirip derlediler.

Twitter’da yayınlanan kurbanlardan birine göre, ccyrpt indirildikten sonra saldırganlar bir kurbanın dosyalarını şifrelemek için manuel olarak çalıştırıyorlar. Saldırganlar tarafından kullanılan komut şöyle:

/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib

Bu komutu girmek, saldırgandan dosyaları şifrelemek için kullanılacak bir şifre girmesini ister.
Kurbanlardan biri olan Alex Negulescu, saldırganların, kurbanın ENCRYPTED.md dosyasını okuması gerektiğini belirten sudo komutunu verirken görüntülenmesine neden olacak bir mesaj vereceğini söyledi.

ENCRYPTED.md dosyası, JungleSec Ransomware için fidye notudur ve aşağıda gösterilmiştir. Bu fidye notu, junglesec@anonymousspeech.com adresindeki saldırganla bağlantı kurma ve dosyaları geri almak için ekteki bitcoin adresine .3 bitcoin gönderme yönergeleri içerir.

IPMI Arayüzleri Nasıl Güvence Altına Alınır?

IPMI arayüzleri doğrudan sunucu ana kartlarına veya bir bilgisayara takılı olan ek kartlar ile birleştirilir. Bir IPMI arayüzü kullanıyorsanız, saldırganların bir sunucuyu tehlikeye atmak için kullanamayacakları şekilde güvenlikli olmaları önemlidir.

Bir IPMI arayüzünü güvence altına almanın ilk adımı varsayılan şifreyi değiştirmektir. Bu kartların birçoğu üreticiden varsayılan şifrelerle gelecektir, bu yüzden şifrenin derhal değiştirilmesi zorunludur.

Yöneticiler ayrıca, yalnızca belirli IP adreslerinin IPMI arayüzüne erişmesine izin veren ACL’leri de yapılandırmalılar. Ek olarak, IPMI arayüzleri sadece dahili IP adreslerini dinleyecek şekilde yapılandırılmalıdır, böylece yalnızca yerel yöneticiler veya VPN ile erişilebilecektir.

Ayrıca bir tavsiye de bizden olsun, GRUB açılış yükleyicisine bir şifre eklenmelidir.

Etiketler
Daha Fazla Göster

brkalbyrk

Gazi Üniversitesi Bilgisayar Mühendisliği'nde eğitim görmekteyim.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir