En nyligen genomförd Distributed Denial of Service (DDoS) -kampanj, kallad ”Panamorfi”, har skapat uppståndelse i cybersäkerhetssamhället. Till skillnad från traditionella DDoS-attacker riktar denna kampanj specifikt in sig på felkonfigurerade Jupyter-anteckningsböcker som är exponerade online. Hotaktören bakom kampanjen, känd som yawixooo, använder en offentligt tillgänglig Minecraft-server DDoS-verktyg för att överbelasta målservrarna.
Attackens anatomi
Enligt forskare från Aqua Nautilus börjar attacken med att hotaktören får initial åtkomst till internetbaserade anteckningsböcker. De går sedan vidare och utför ett kommando som laddar ner en zip-fil från en fil-delningssida. Zip-filen, cirka 17 MB i storlek och döpt med en slumpmässig teckensträng, innehåller två Jar-filer som kallas conn.jar och mineping.jar. Dessa Jar-filer var tidigare okända för säkerhetsföretag, med endast en detektering för varje.
Filen ’conn.jar’ spelar en avgörande roll i attacken. Den använder Discord för att kontrollera DDoS-operationen. Offrets maskin ansluter till en angiven Discord-kanal och laddar filen ’mineping.jar’. Denna fil är ett välkänt Minecraft-server DDoS-verktyg tillgängligt på GitHub och innehåller flera Java-filer för olika funktioner.
Utförande av attacken
När Minecraft-server DDoS-verktyget implementeras startar hotaktören en TCP-flod DDoS-attack. Det primära målet är att uttömma resurserna hos målservrarna. Angriparna har ställt in verktyget att skriva attackresultaten direkt till Discord-kanalen, vilket möjliggör övervakning av attackens påverkan i realtid.
Att mildra hotet
Som tur var kunde forskarna från Aqua Nautilus ingripa och stoppa attacken genom att implementera en körningspolicy som blockerar utförandet av filen conn.jar. Genom att vidta dessa proaktiva åtgärder neutraliserades hampningen effektivt.
För att skydda sig mot liknande kampanjer är det avgörande att följa dessa mitigationsstrategier:
– Implementera säkra metoder för att begränsa åtkomsten till Jupyter-anteckningsböcker.
– Blockera utförandet av filer som är associerade med kampanjen, såsom conn.jar och mineping.jar.
– Begränsa kodutförande inom Jupyter-anteckningsböcker.
– Uppdatera regelbundet Jupyter-anteckningsböcker med de senaste säkerhetspatcharna.
Dessutom är det lämplig att undvika att dela känslig information eller legitimationsuppgifter på Jupyter-anteckningsböcker, då de kan bli attraktiva mål för hotaktörer.
Genom att vara vaksam och anta dessa försvarsmekanismer kan datapraktiker som datatekniker, dataanalytiker och datavetenskapsmän skydda sig mot Panamorfi DDoS-kampanjen och liknande attacker i framtiden.