Egy újfajta káros kód terjesztési módszert észlelt az NBSZ NKI

 

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet Eseményészlelési Szakterülete által felügyelt Elosztott Kormányzati Csapdarendszerére naponta több százezer esemény érkezik be a nyílt internet felől. A begyűjtött adatok segítségével új támadási minták és indikátorok ismerhetőek fel.

Az egyik új trend, amit a csapdarendszer segítségével azonosítottunk, egy újfajta módszer, ami a Discord tartalomkézbesítési hálózatát (content delivery network) használja kártékony programok disztribúciójára.

A Discord egy kommunikációs platform, amely szöveg, videó-, kép- és audió kommunikációval is rendelkezik. Legfőképpen a videójátékos közösségek körében terjedt el eleinte, a vírushelyzet beálltával azonban megnövekedett az igény a hasonló kommunikációs platformok iránt, így rengetegen kezdték el használni ezt a platformot is.

A támadók gyenge vagy alapértelmezett hitelesítéssel rendelkező Unix alapú rendszerek távoli menedzsment szolgáltatására próbálnak bejutni. Ezt követően a Discord tartalomkézbesítési hálózatáról letöltött állományt a támadó megpróbálja különböző mappákba elhelyezni és lefuttatni (lásd: 1. ábra).

1. ábra

A VirusTotal platformon 62 vírusírtó termék közül több mint a fele (36) visszaigazolta az állomány kártékony tevékenységét (lásd: ábra 2), emellett eredményesen azonosította a vírus típusát. A Mirai malware a hálózatra kötött Unix alapú rendszereket zombihálózatra kapcsolja. Ezeket a zombihálózatokat általában elosztott szolgáltatás megtagadási támadásra használják fel.

2. ábra

A hasonló esetek elkerülése érdekében javasolt:

  • erős, egyedi jelszó alkalmazása minden felhasználói fiók esetében,
  • az internet felől nyitott portok szükségességét rendszeresen és tervezetten átvizsgálni,
  • üzemeltetéshez használt portok külső hálózatból történő elérésének a korlátozása,
  • megfelelő kizárási házirend foganatosítása és a határvédelmi eszközök feketelistájának naprakészen tartása.