• Imprimeix

Mesures contra el minat de Monero a través de WebLogic

19/01/2018 10:01
Oracle

La campanya cibercriminal pel minat de la criptomoneda Monero està agafant força des del servidor d’aplicacions WebLogic, explotant una vulnerabilitat que li permet executar codi maliciós de forma remota amb l’objectiu d’aconseguir unitats d’aquest actiu digital. Els experts de seguretat recomanen prendre les següents mesures:

  • En cas d’afectació, restauració a un estat segur conegut

En cas de tenir constància d’estar afectat per aquesta campanya, es recomana restaurar l’actiu a un estat segur conegut, utilitzant, per exemple, una còpia de seguretat. Això és imprescindible, ja que s’ha detectat que aquest malware utilitza mecanismes de persistència, és a dir, formes per evitar ser expulsat (com la creació de tasques cron, modificació d’scripts de sessió, la creació d’arxius i subdirectoris propis o d’altres més difícils de detectar i dels quals no s’ha trobat evidències).

  • Aplicació dels pegats de seguretat d’Oracle

Es recomana aplicar les actualitzacions de seguretat d’Oracle per a solucionar les vulnerabilitats de WebLogic.

  • Configuració de tallafocs i ACLS

Els tallafocs (firewalls) són parts d’un sistema dissenyats per monitoritzar qui hi entra i qui en surt, bloquejant-ne l’accés no autoritzat. La seva configuració, així com de les anomenades llistes de control d’accés (ACLS), pot servir per evitar que el miner executi la seva tasca, bloquejant el tràfic que genera cap al pool de minat. Els pools de minat són l’agrupació de recursos per part de diferents miners que comparteixen la seva potència amb l’objectiu de generar més criptomoneda (el que es diu ‘resoldre blocs’ més ràpidament) i repartir-se’n la recompensa. Sense aquest tràfic, no hi ha guany econòmic i no hi ha, per tant, interès en utilitzar el sistema.

  • Configuració dels IDS/IPS

Els IDS (Intrusion Detection System) i els IPS (Intrusion Prevention System) són sistemes que augmenten la seguretat de les nostres xarxes. N’analitzen el tràfic buscant dades sospitoses. L’IPS, com bé diu el seu nom, fa una tasca de prevenció, a través d’alertes anticipades als administradors de l’equip. Però no deté els eventuals atacs, de la qual cosa s’encarrega l’IDS, ja en el moment en què s’està gestant i abans que tingui èxit. Configurar-los correctament pot fer que detectin el tràfic de les URL que s’han identificat com a part de la campanya cibercriminal.

  • Bloqueig d'accés a dominis concrets

Evitar l’accés a dominis Command and Control (C&C) o de pools de minat de criptomoneda es pot fer, per exemple, a través de DNS de Firewall, que és una solució de seguretat que prevé que els usuaris d’una xarxa i sistemes de connectar-se a adreces d’Internet que es consideren malicioses.