पॅले मून वेब ब्राउझरचा एक सर्व्हर हॅक झाला

ब्राउझरच्या लेखकाने, पॅले मूनने सर्व्हरपैकी एकावर अनधिकृत प्रवेशाबद्दल माहिती उघड केली "आर्काइव्ह.पालेमून.ऑर्ग.ऑर्ग" या वेब ब्राउझर वरून, ज्याने ब्राउझरच्या मागील आवृत्त्यांचे संग्रहण चालू ठेवले आणि त्यामध्ये आवृत्ती 27.6.2 समाविष्ट केली.

या प्रवेशामध्ये हल्लेखोरांना मालवेयरने संक्रमित केले सह सर्व्हरवरील सर्व एक्झिक्युटेबल फायली फिकट चंद्रमा इंस्टॉलर विंडोसाठीs प्राथमिक माहितीनुसार, मालवेयर बदलण्याची शक्यता 27 डिसेंबर, 2017 रोजी झाली आणि ती 9 जुलै, 2019 रोजी आढळली, म्हणजेच दीड वर्ष लक्ष न देता गेले.

सर्व्हर सध्या तपासासाठी अक्षम आहे. ज्या सर्व्हरवरून पॅले मूनची वर्तमान आवृत्ती वितरित केली गेली होती त्याचा त्रास झाला नाही, समस्या फक्त विंडोजच्या जुन्या आवृत्त्यांना प्रभावित करते आधीच वर्णन केलेल्या सर्व्हरवरून स्थापित केलेले (नवीन आवृत्त्या उपलब्ध असताना जुन्या आवृत्त्या या सर्व्हरवर हलविल्या जातात).

प्रवेश मिळवल्यानंतर, हल्लेखोरांनी पेले मूनशी संबंधित सर्व फायली निवडकपणे संक्रमित केल्या जे इन्स्टॉलर आणि सेल्फ एक्सट्रॅक्टिंग फाइल्स आहेत Win32 / ClipBanker.DY ट्रोजन सॉफ्टवेअरसह क्रिप्टोकरन्सी चोरण्याचा हेतू आहे स्वॅप बफरमध्ये बिटकॉइन पत्ते बदलून.

झिप फायलींमधील कार्यकारी फायली प्रभावित होत नाहीत. वापरकर्ता हॅश किंवा डिजिटल स्वाक्षरी फाइल्सशी संलग्न SHA256 तपासून इंस्टॉलरमधील बदल शोधू शकतो. वापरलेले मालवेअर सर्व संबंधित अँटीव्हायरस प्रोग्रामद्वारे यशस्वीरित्या देखील आढळले आहे.

पॅले मून सर्व्हरला खाच देण्याच्या वेळी, ब्राउझरचा लेखक तपशील देतोः

“सर्व्हर विंडोजवर चालू झाला आणि फ्रेंटेक / बायव्हीएम ऑपरेटरकडून भाड्याने दिलेल्या आभासी मशीनवर लाँच झाला. "

कोणत्या प्रकारची असुरक्षा वापरली गेली आणि ते Windows साठी विशिष्ट आहे की कोणत्याही चालणार्‍या तृतीय-पक्षाच्या सर्व्हर अनुप्रयोगांवर त्याचा परिणाम झाला आहे हे अद्याप स्पष्ट झाले नाही.

खाच बद्दल

26 मे, 2019 रोजी, हल्लेखोरांच्या सर्व्हरवरील क्रियाकलाप प्रक्रियेत (हे माहित नव्हते की ते पहिले आक्रमण करणारे किंवा इतर जण होते तेव्हासारखेच हल्लेखोर होते), आर्काइव्ह.पालेमून.ऑर्ग.चे सामान्य कार्य मोडले- होस्ट रीबूट करण्यात अयशस्वी झाला आणि डेटा दूषित झाला.

सिस्टम लॉगचा समावेश गमावला, ज्यामध्ये हल्ल्याचे प्रकार दर्शविणारे अधिक तपशीलवार मागोवा असू शकतात.

या निर्णयाच्या वेळी प्रशासकांना बांधिलकीची माहिती नव्हती आणि त्यांनी नवीन सेन्टॉस-आधारित वातावरणाचा वापर करून आणि एचटीटीपीसह एफटीपीद्वारे डाउनलोड करण्याऐवजी फाईलचे कार्य पुनर्संचयित केले.

नवीन सर्व्हरवर ही घटना पाहिली नसल्याने, आधीच संक्रमित झालेल्या बॅकअप फाइल्स हस्तांतरित केल्या गेल्या.

तडजोडीच्या संभाव्य कारणांचे विश्लेषण करताना, होस्टिंग स्टाफकडून खात्याचा संकेतशब्द मिळवून हल्लेखोरांनी प्रवेश मिळविला आहे असे गृहित धरले जातेसर्व्हरवर शारीरिक प्रवेश मिळविणे, इतर आभासी मशीन नियंत्रित करण्यासाठी हायपरवाइजरवर हल्ला करणे, वेब कंट्रोल पॅनेलमध्ये हॅक करणे आणि रिमोट डेस्कटॉप सत्र थांबविणे हे अगदी सोपे होते.

दुसरीकडे, असे मानले जाते की हल्लेखोरांनी आरडीपीचा वापर केला किंवा विंडोज सर्व्हरमध्ये असुरक्षिततेचा गैरफायदा घेतला. अस्तित्त्वात असलेल्या एक्जीक्यूटेबल फायलींमध्ये आणि बाहेरून रीलोड न करता बदल करण्यासाठी स्क्रिप्टचा वापर करुन सर्व्हरवर स्थानिक पातळीवर दुर्भावनायुक्त क्रिया केल्या गेल्या.

प्रकल्पाच्या लेखकाने हे सुनिश्चित केले की केवळ त्याच्याकडे सिस्टममध्ये प्रशासक प्रवेश होता, प्रवेश फक्त आयपी पत्त्यावर मर्यादित होता आणि मूलभूत विंडोज ऑपरेटिंग सिस्टम अद्ययावत होती आणि बाहेरील हल्ल्यांपासून संरक्षित होती.

त्याच वेळी, आरडीपी आणि एफटीपी प्रोटोकॉलचा वापर रिमोट wereक्सेससाठी केला गेला आणि संभाव्यत: असुरक्षित सॉफ्टवेअर व्हर्च्युअल मशीनवर सोडण्यात आले, जे हॅकचे एक कारण असू शकते.

तथापि, पॅले मूनचा लेखक त्या आवृत्तीस अनुकूल आहे ज्यात प्रदात्याच्या आभासी मशीन इन्फ्रास्ट्रक्चरच्या अपुरा संरक्षणामुळे खाच चालविण्यात आले आहे (उदाहरणार्थ, मानक आभासीकरण व्यवस्थापन इंटरफेसचा वापर करून अविश्वासू विक्रेता संकेतशब्दाच्या निवडीद्वारे ओपनएसएसएल वेबसाइट हॅक केली गेली होती) )