Frank McDougall
Neseniai išplitusi Daugelio Aptarnavimo Atakų (DDoS) kampanija, sukurta „Panamorfi” pavadinimu, sukėlė susirūpinimą saugumo bendruomenėje. Skirtingai nei tradicinės DDoS atakos, ši kampanija specialiai kertasi neteisingai sukonfigūruotus Jupyter užrašų knygas, kurios yra prieinamos internete. Kampanijos grėsmės aktorius, vadinamas yawixooo, naudoja viešai prieinamą „Minecraft” serverio DDoS įrankį, kad užkariautų taikinių serverius.
Atakos anatomija
Aqua Nautilus tyrėjų teigimu, ataka prasideda tuo, kad grėsmės aktorius pirmiausia įgauna pradinį prieigą prie internete prieinamų užrašų knygų. Tada jie eina pirmyn ir vykdo komandą, kuri parsiunčia zip failą iš failų dalinimosi platformos. Zip failas, apytikriai 17 MB dydžio ir vardu su atsitiktinė simbolių eilute, turi du Jar failus, pavadintus conn.jar ir mineping.jar. Šie Jar failai saugumo kompanijoms buvo nepažįstami, turintys po vieną aptikimą kiekvienam.
Failas ‘conn.jar’ vaidmenį atakoje atlieka esminį. Jis naudoja Discord, kad valdytų DDoS operaciją. Auka susijungia su nurodytu Discord kanalu, įkelia ‘mineping.jar’ failą. Šis failas yra gerai žinomas „Minecraft” serverio DDoS įrankis, prieinamas „GitHub”, ir jame yra keli Java failai su įvairiais funkcionalumais.
Atakos vykdymas
Kai „Minecraft” serverio DDoS įrankis įdiegtas, grėsmės aktorius pradeda TCP potvynio DDoS ataką. Pagrindinis tikslas – išnaudoti taikinio serverio išteklius. Puolėjai nustatė įrankį taip, kad jis tiesiogiai rašytų atakos rezultatus į Discord kanalą, leisdami jiems stebėti atakos poveikį realiuoju laiku.
Grėsmės mažinimas
Laimei, Aqua Nautilus tyrėjai įsikišo ir sustabdė ataką įgyvendindami vykdymo politiką, kuri blokuoja ‘conn.jar’ failo vykdymą. Imantis šių proaktyvių priemonių, visą kampaniją efektyviai neutralizuota.
Norint apsisaugoti nuo panašių kampanijų, svarbu laikytis šių mažinimo strategijų:
– Įdiegti saugias praktikas, kad būtų ribojama prieiga prie Jupyter užrašų knygų;
– Blokuoti kampanijai susijusių failų, tokių kaip conn.jar ir mineping.jar, vykdymą;
– Riboti kodo vykdymą Jupyter užrašų knygose;
– Reguliariai atnaujinti Jupyter užrašų knygas naujausiais saugumo atnaujinimais.
Be to, patariama vengti dalijimosi jautria informacija arba prisijungimo duomenimis Jupyter užrašų knygose, nes jos gali tapti potencialiomis grėsmių aktorių taikiniais.
Būdamas budrus ir priimdamas šias apsaugos priemones, duomenų praktikai, tokioms kaip duomenų inžinieriai, duomenų analitikai ir duomenų mokslininkai, gali apsisaugoti nuo Panamorfi DDoS kampanijos ir panašių atakų ateityje.
(Šaltiniai nepridėti)
