Khách hàng ATM bitcoin bị tấn công bằng video tải lên thực sự là một ứng dụng

Có rất nhiều cách chơi chữ quân sự trong lịch sử hệ điều hành.

Unix nổi tiếng có cả một nhóm nhân sự được gọi là Số chính, người tổ chức các tiểu đoàn thiết bị như ổ đĩa, bàn phím và webcam trong hệ thống của bạn.

Microsoft đã từng phải vật lộn với những người dường như không đủ năng lực Thất bại chung, người thường xuyên bị phát hiện đang cố đọc đĩa DOS của bạn và không thành công.

Linux thỉnh thoảng gặp sự cố với Đại tá Panic, có xuất hiện thường dẫn đến mất dữ liệu, hệ thống tệp có khả năng bị hỏng và yêu cầu khẩn cấp là tắt nguồn và khởi động lại máy tính của bạn.

Và một công ty tiền điện tử của Séc dường như không nhận được độ tin cậy mà bạn có thể mong đợi một cách hợp lý từ một nhân vật được gọi là Số byte chung.

Trên thực tế, Số byte chung là tên của chính công ty, một doanh nghiệp đáng buồn là không xa lạ gì với những vụ xâm nhập không mong muốn và truy cập trái phép vào các quỹ tiền điện tử.

Một lần là bất hạnh

Vào tháng 2022 năm XNUMX, chúng tôi đã viết về cách General Bytes đã nạn nhân đến một lỗi phía máy chủ trong đó những kẻ tấn công từ xa có thể lừa máy chủ ATM của khách hàng cấp cho họ quyền truy cập vào các trang cấu hình “thiết lập một hệ thống hoàn toàn mới”.

Nếu bạn đã từng khởi động lại iPhone hoặc thiết bị Android, bạn sẽ biết rằng người thực hiện thiết lập ban đầu sẽ có quyền kiểm soát thiết bị, đặc biệt là vì họ có thể định cấu hình người dùng chính và chọn mã khóa hoàn toàn mới hoặc cụm mật khẩu trong quá trình này.

Tuy nhiên, bạn cũng sẽ biết rằng điện thoại di động hiện đại buộc phải xóa nội dung cũ của thiết bị, bao gồm tất cả dữ liệu của người dùng cũ, trước khi họ cài đặt lại và định cấu hình lại hệ điều hành, ứng dụng và cài đặt hệ thống.

Nói cách khác, bạn có thể bắt đầu lại, nhưng bạn không thể tiếp tục nơi người dùng cuối cùng đã dừng lại, nếu không, bạn có thể sử dụng phản hồi hệ thống (hoặc DFU, viết tắt của nâng cấp firmware thiết bị, theo cách gọi của Apple) để lấy các tệp của chủ sở hữu trước đó.

Tuy nhiên, trong máy chủ General Bytes ATM, đường dẫn truy cập trái phép đưa kẻ tấn công vào màn hình thiết lập “bắt đầu từ đầu” không vô hiệu hóa bất kỳ dữ liệu nào trên thiết bị bị xâm nhập trước tiên…

…vì vậy kẻ gian có thể lạm dụng quy trình “thiết lập tài khoản quản trị mới” của máy chủ để tạo thêm người dùng quản trị trên một hệ thống hiện có.

Hai lần trông như bất cẩn

Lần trước, General Bytes đã phải chịu cái mà bạn có thể gọi là một cuộc tấn công không có phần mềm độc hại, trong đó bọn tội phạm không cấy bất kỳ mã độc nào.

Cuộc tấn công năm 2022 được dàn dựng đơn giản thông qua các thay đổi cấu hình ác ý, với hệ điều hành cơ bản và phần mềm máy chủ không bị ảnh hưởng.

Lần này, những kẻ tấn công đã sử dụng một cách tiếp cận thông thường hơn dựa vào mô cấy: phần mềm độc hại, hoặc phần mềm độc hại nói ngắn gọn, nó đã được tải lên thông qua lỗ hổng bảo mật và sau đó được sử dụng như cái mà bạn có thể gọi là “bảng điều khiển thay thế”.

Nói một cách đơn giản: những kẻ lừa đảo đã tìm thấy một lỗi cho phép chúng cài đặt một cửa hậu để sau đó chúng có thể truy cập mà không cần sự cho phép.

Như General Bytes đã nói:

Kẻ tấn công có thể tải lên ứng dụng Java của riêng mình từ xa thông qua giao diện dịch vụ chính được sử dụng bởi các thiết bị đầu cuối để tải lên video và chạy nó bằng đặc quyền của người dùng batm.

Chúng tôi không chắc tại sao máy ATM lại cần tùy chọn tải lên hình ảnh và video từ xa, như thể đó là một loại trang blog cộng đồng hoặc dịch vụ truyền thông xã hội nào đó…

…nhưng có vẻ như hệ thống Máy chủ ATM Coin chỉ bao gồm một tính năng như vậy, có lẽ là để quảng cáo và các ưu đãi đặc biệt khác có thể được quảng bá trực tiếp tới những khách hàng ghé thăm máy ATM.

Video tải lên không giống như vẻ ngoài của chúng

Thật không may, bất kỳ máy chủ nào cho phép tải lên, ngay cả khi chúng đến từ một nguồn đáng tin cậy (hoặc ít nhất là một nguồn được xác thực) đều cần cẩn thận với một số điều sau:

• Các nội dung tải lên cần được ghi vào một khu vực tổ chức nơi chúng không thể được đọc lại ngay lập tức từ bên ngoài. Điều này giúp đảm bảo rằng những người dùng không đáng tin cậy không thể biến máy chủ của bạn thành một hệ thống phân phối tạm thời cho nội dung trái phép hoặc không phù hợp thông qua một URL có vẻ hợp pháp vì URL đó có dấu ấn của thương hiệu của bạn.
• Các tệp tải lên cần được kiểm tra để đảm bảo chúng khớp với các loại tệp được phép. Điều này giúp ngăn những người dùng giả mạo đặt bẫy khu vực tải lên của bạn bằng cách rải rác vào đó các tập lệnh hoặc chương trình mà sau này có thể được thực thi trên máy chủ thay vì chỉ được phục vụ cho khách truy cập tiếp theo.
• Tải lên cần được lưu với quyền truy cập hạn chế nhất khả thi, để các tệp bị bẫy hoặc bị hỏng không thể vô tình được thực thi hoặc thậm chí được truy cập từ các phần an toàn hơn của hệ thống.

Có vẻ như General Bytes đã không thực hiện các biện pháp phòng ngừa này, kết quả là những kẻ tấn công có thể thực hiện một loạt các hành động phá hoại quyền riêng tư và trích xuất tiền điện tử.

Hoạt động độc hại dường như bao gồm: đọc và giải mã mã xác thực được sử dụng để truy cập tiền trong ví nóng và sàn giao dịch; gửi tiền từ ví nóng; tải xuống tên người dùng và băm mật khẩu; truy xuất khóa mật mã của khách hàng; tắt 2FA; và truy cập nhật ký sự kiện.

Phải làm gì?

• Nếu bạn chạy các hệ thống ATM General Bytes Coin, đọc của công ty báo cáo vi phạm, cho bạn biết cách tìm cái gọi là IoC (các chỉ số của sự thỏa hiệp) và những việc cần làm trong khi chờ các bản vá lỗi được xuất bản.

Lưu ý rằng công ty đã xác nhận rằng cả Máy chủ ATM Coin độc lập và hệ thống dựa trên đám mây của riêng họ (nơi bạn trả cho General Bytes khoản phí 0.5% cho tất cả các giao dịch để đổi lại họ chạy máy chủ của bạn cho bạn) đều bị ảnh hưởng.

Thật thú vị, General Bytes báo cáo rằng nó sẽ “đóng cửa dịch vụ đám mây của nó”, và nhấn mạnh rằng "bạn sẽ cần cài đặt máy chủ độc lập của riêng mình". (Báo cáo không đưa ra thời hạn, nhưng công ty đã tích cực cung cấp hỗ trợ di chuyển.)

Trong một bước ngoặt sẽ đưa công ty đi theo hướng ngược lại với hầu hết các công ty định hướng dịch vụ đương đại khác, General Bytes nhấn mạnh rằng “Về mặt lý thuyết (và thực tế) không thể bảo mật một hệ thống cấp quyền truy cập cho nhiều nhà khai thác cùng lúc khi một số trong số họ là những kẻ xấu.”

• Nếu gần đây bạn đã sử dụng một máy ATM General Bytes, liên hệ với sàn giao dịch hoặc sàn giao dịch tiền điện tử của bạn để được tư vấn về những việc cần làm và liệu có bất kỳ khoản tiền nào của bạn gặp rủi ro hay không.

• Nếu bạn là một lập trình viên chăm sóc một dịch vụ trực tuyến, cho dù nó tự lưu trữ hay lưu trữ trên đám mây, hãy đọc và chú ý đến lời khuyên của chúng tôi ở trên về tải lên và thư mục tải lên.

• Nếu bạn là người đam mê tiền điện tử, giữ càng ít tiền điện tử của bạn càng tốt trong cái gọi là ví nóng.

Ví nóng về cơ bản là các quỹ sẵn sàng giao dịch tại một thời điểm (có thể tự động) và thường yêu cầu bạn ủy thác khóa mật mã của riêng mình cho người khác hoặc tạm thời chuyển tiền vào một hoặc nhiều ví của họ.

---

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/