Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

NSA Berbagi Kiat Mengamankan Perangkat Windows dengan PowerShell

by

Badan Keamanan Nasional (NSA) dan lembaga mitra keamanan siber mengeluarkan imbauan hari ini yang merekomendasikan administrator sistem untuk menggunakan PowerShell untuk mencegah dan mendeteksi aktivitas berbahaya pada mesin Windows.

PowerShell sering digunakan dalam serangan siber, dimanfaatkan sebagian besar pada tahap pasca-eksploitasi, tetapi kemampuan keamanan yang tertanam dalam alat otomatisasi dan konfigurasi Microsoft juga dapat menguntungkan para defender dalam upaya forensik mereka, meningkatkan respons insiden, dan untuk mengotomatiskan tugas yang berulang.

Administrator harus menyadari bahwa mengaktifkan fitur ini di jaringan pribadi secara otomatis menambahkan aturan baru di Windows Firewall yang mengizinkan semua koneksi. Menyesuaikan Windows Firewall untuk mengizinkan koneksi hanya dari titik akhir dan jaringan tepercaya membantu mengurangi peluang penyerang untuk gerakan lateral yang berhasil.

Untuk koneksi jarak jauh, agensi menyarankan untuk menggunakan protokol Secure Shell (SSH), yang didukung di PowerShell 7, untuk menambah kenyamanan dan keamanan otentikasi kunci publik:

  • koneksi jarak jauh tidak memerlukan HTTPS dengan sertifikat SSL
  • tidak perlu Host Tepercaya, seperti yang diperlukan saat melakukan remote melalui WinRM di luar domain
  • amankan manajemen jarak jauh melalui SSH tanpa kata sandi untuk semua perintah dan koneksi
  • Remote PowerShell antara host Windows dan Linux

Rekomendasi lain adalah untuk mengurangi operasi PowerShell dengan bantuan AppLocker atau Windows Defender Application Control (WDAC) untuk mengatur alat agar berfungsi dalam Mode Bahasa Terbatas (CLM), sehingga menolak operasi di luar kebijakan yang ditentukan oleh administrator.

Mendeteksi penggunaan PowerShell yang berbahaya

Merekam aktivitas PowerShell dan memantau log adalah dua rekomendasi yang dapat membantu administrator menemukan tanda-tanda potensi penyalahgunaan.

NSA dan mitranya mengusulkan untuk mengaktifkan fitur-fitur seperti Deep Script Block Logging (DSBL), Module Logging, dan Over-the-Shoulder transcription (OTS).

Dua yang pertama memungkinkan pembuatan database log komprehensif yang dapat digunakan untuk mencari aktivitas PowerShell yang mencurigakan atau berbahaya, termasuk tindakan tersembunyi dan perintah serta skrip yang digunakan dalam proses. Dengan OTS, administrator mendapatkan catatan dari setiap input atau output PowerShell, yang dapat membantu menentukan niat penyerang di lingkungan.

Administrator dapat menggunakan tabel di bawah ini untuk memeriksa fitur yang disediakan oleh berbagai versi PowerShell untuk membantu mengaktifkan pertahanan yang lebih baik di lingkungan mereka:

Dokumen yang dirilis NSA hari ini menyatakan bahwa “PowerShell sangat penting untuk mengamankan sistem operasi Windows,” terutama versi yang lebih baru yang mengatasi batasan sebelumnya.

Jika dikonfigurasi dan dikelola dengan benar, PowerShell dapat menjadi alat yang andal untuk pemeliharaan sistem, forensik, otomatisasi, dan keamanan.

Dokumen lengkap berjudul “Menjaga PowerShell: Tindakan Keamanan untuk Digunakan dan Dirangkul” tersedia di sini [PDF].

Sumber: BleepingComputer

Serangan Relay DFSCoerce NTLM baru memungkinkan pengambilalihan domain Windows

by

Serangan relai DFSCoerce Windows NTLM baru telah ditemukan yang menggunakan MS-DFSNM, Sistem File Terdistribusi Microsoft, untuk sepenuhnya mengambil alih domain Windows.

Banyak organisasi menggunakan Layanan Sertifikat Direktori Aktif Microsoft, layanan infrastruktur kunci publik (PKI) yang digunakan untuk mengautentikasi pengguna, layanan, dan perangkat di domain Windows.

Namun, layanan ini rentan terhadap serangan relai NTLM, yaitu ketika aktor ancaman memaksa, atau memaksa, pengontrol domain untuk mengautentikasi terhadap relai NTLM berbahaya di bawah kendali penyerang.

Server jahat ini kemudian akan menyampaikan, atau meneruskan, permintaan otentikasi ke Layanan Sertifikat Direktori Aktif domain melalui HTTP dan akhirnya diberikan tiket pemberian tiket (TGT) Kerberos. Tiket ini memungkinkan pelaku ancaman untuk mengasumsikan identitas perangkat apa pun di jaringan, termasuk pengontrol domain.

Setelah mereka menyamar sebagai pengontrol domain, mereka akan memiliki hak istimewa yang lebih tinggi yang memungkinkan penyerang mengambil alih domain dan menjalankan perintah apa pun.

Untuk memaksa server jarak jauh mengautentikasi terhadap relai NTLM yang berbahaya, pelaku ancaman dapat menggunakan berbagai metode, termasuk protokol MS-RPRN, MS-EFSRPC (PetitPotam), dan MS-FSRVP.

Sementara Microsoft telah menambal beberapa protokol ini untuk mencegah pemaksaan yang tidak diautentikasi, bypass biasanya ditemukan yang memungkinkan protokol untuk terus disalahgunakan.

Minggu ini, peneliti keamanan Filip Dragovic merilis skrip proof-of-concept untuk serangan relai NTLM baru yang disebut ‘DFSCoerce’ yang menggunakan protokol Sistem File Terdistribusi (MS-DFSNM) Microsoft untuk menyampaikan otentikasi terhadap server arbitrer.

Skrip DFSCoerce didasarkan pada eksploitasi PetitPotam, tetapi alih-alih menggunakan MS-EFSRPC, skrip ini menggunakan MS-DFSNM, sebuah protokol yang memungkinkan Windows Distributed File System (DFS) dikelola melalui antarmuka RPC.

Peneliti keamanan yang telah menguji serangan relai NTLM baru telah mengatakan kepada BleepingComputer bahwa itu dengan mudah memungkinkan pengguna dengan akses terbatas ke domain Windows untuk menjadi admin domain.

Para peneliti memberi tahu BleepingComputer bahwa cara terbaik untuk mencegah jenis serangan ini adalah dengan mengikuti saran Microsoft dalam mengurangi serangan relai PetitPotam NTLM.

Mitigasi ini termasuk menonaktifkan NTLM pada pengontrol domain dan mengaktifkan Perlindungan yang Diperpanjang untuk Otentikasi dan fitur penandatanganan, seperti penandatanganan SMB, untuk melindungi kredensial Windows.

Metode mitigasi lainnya termasuk menggunakan Filter RPC bawaan Windows atau Firewall RPC untuk mencegah server dipaksa melalui protokol MS-DFSNM.

Namun, tidak diketahui saat ini apakah memblokir koneksi DFS RPC akan menyebabkan masalah pada jaringan.

Sumber: Bleeping Computer

Microsoft: Pembaruan Windows Server Juni dapat menyebabkan masalah pencadangan

by

Microsoft mengatakan bahwa beberapa aplikasi mungkin gagal untuk mencadangkan data menggunakan Volume Shadow Copy Service (VSS) setelah menerapkan pembaruan Windows Patch Tuesday Juni 2022.

Masalah ini terjadi karena penegakan keamanan yang diperkenalkan untuk mengatasi peningkatan kerentanan hak istimewa (CVE-2022-30154) di Microsoft File Server Shadow Copy Agent Service (RVSS).

“Setelah Anda menginstal pembaruan Windows 14 Juni 2022 atau yang lebih baru, operasi yang terkait dengan salinan bayangan (pembuatan atau penghapusan) pada Server Aplikasi yang menjalankan Aplikasi Server sadar VSS yang menyimpan data pada berbagi file SMB 3.0 jarak jauh atau yang lebih baru mungkin gagal untuk berbagi SMB dihosting di File Server,” Microsoft menjelaskan.

Pada sistem yang mengalami masalah yang diketahui ini, aplikasi pencadangan Windows mungkin menerima kesalahan E_ACCESSDENIED selama operasi pembuatan salinan bayangan dan “FileShareShadowCopyAgent Event 1013” akan dicatat di File Server.

Karena RVSS adalah komponen opsional, sistem yang menjalankan Windows Server tidak rentan secara default. Selain itu, edisi Klien Windows tidak rentan terhadap serangan menggunakan eksploitasi CVE-2022-30154 dalam upaya eskalasi hak istimewa.

Daftar lengkap versi Windows yang terpengaruh dan pembaruan Windows yang menyebabkan masalah ini meliputi:

  • Windows Server 2022 (KB5014678)
  • Windows 10, versi 20H2 (KB5014699)
  • Windows Server 2019 (KB5014692)
  • Windows Server 2016 (KB5014702)
  • Windows Server 2012 R2 (KB5014746)
  • Windows Server 2012 (KB5014747)

Untuk mengatasi masalah ini, instal pemutakhiran Windows yang dirilis pada 14 Juni dan yang lebih baru di Server Aplikasi dan Server Berkas.

“Server aplikasi menjalankan aplikasi sadar Volume Shadow Copy Service (VSS) yang menyimpan data di server jarak jauh Server Message Block 3.0 (atau lebih tinggi) yang dibagikan di server file,” tambah Microsoft.

“Server file menghosting file yang dibagikan. Jika Anda tidak menginstal pembaruan pada kedua peran mesin, operasi pencadangan yang dilakukan oleh aplikasi, yang sebelumnya berfungsi, mungkin gagal.”

Masalah yang diketahui ini juga diketahui terjadi jika akun yang digunakan untuk melakukan operasi penyalinan bayangan adalah akun lokal dengan hak Administrator atau Operator Cadangan di File Server—dalam hal ini, Microsoft merekomendasikan untuk beralih ke akun domain.

Microsft juga mengatakan bahwa pencadangan mungkin gagal jika akun yang digunakan untuk melakukan operasi penyalinan tidak sesuai dengan persyaratan hak istimewa untuk Administrator atau Operator Cadangan. Untuk memperbaiki masalah ini, Anda harus beralih ke bagian akun domain dari grup Administrator Lokal atau Operator Cadangan di Server File.

Sumber: Bleeping Computer

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

by

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Windows Palsu mengeksploitasi komunitas infosec target dengan Cobalt Strike

by

Seorang aktor ancaman menargetkan peneliti keamanan dengan eksploitasi bukti konsep Windows palsu yang menginfeksi perangkat dengan pintu belakang Cobalt Strike.

Siapa pun yang berada di balik serangan ini memanfaatkan kerentanan eksekusi kode jarak jauh Windows yang baru-baru ini ditambal yang dilacak sebagai CVE-2022-24500 dan CVE-2022-26809.

Saat Microsoft menambal kerentanan, biasanya peneliti keamanan menganalisis perbaikan dan merilis eksploitasi proof-of-concept untuk kelemahan di GitHub.

Eksploitasi proof-of-concept ini digunakan oleh peneliti keamanan untuk menguji pertahanan mereka sendiri dan untuk mendorong admin menerapkan pembaruan keamanan.

Namun, aktor ancaman biasanya menggunakan eksploitasi ini untuk melakukan serangan atau menyebar secara lateral dalam jaringan.

Pekan lalu, seorang aktor ancaman menerbitkan dua eksploitasi proof-of-concept di GitHub untuk kerentanan Windows CVE-2022-24500 dan CVE-2022-26809 di GitHub.

Eksploitasi ini dipublikasikan di repositori untuk pengguna bernama ‘rkxxz’, yang telah dihapus dan akunnya dihapus.

CVE-2022-24500 PoC palsu diposting ke GitHub

Seperti yang selalu terjadi ketika PoC diterbitkan, berita dengan cepat menyebar di Twitter, dan bahkan menarik perhatian aktor ancaman yang mempostingnya di forum peretasan.

PoC palsu dibagikan di forum peretasan

Namun, segera menjadi jelas bahwa eksploitasi proof-of-concept ini palsu dan memasang suar Cobalt Strike di perangkat orang.

Cobalt Strike adalah alat pentesting yang sah yang biasanya digunakan oleh pelaku ancaman untuk menembus dan menyebar secara lateral melalui suatu organisasi.

Dalam laporan cybersecurity Cyble, analis ancaman menganalisis PoC dan menemukan bahwa itu adalah aplikasi .NET yang berpura-pura mengeksploitasi alamat IP yang sebenarnya menginfeksi pengguna dengan pintu belakang.

Demonstrasi eksploitasi PoC CVE-2022-24500 palsu
Sumber: BleepingComputer

Dari sampel PoC yang tidak disamarkan yang dibagikan dengan BleepingComputer oleh Cyble, kita dapat melihat bahwa PoC palsu meluncurkan skrip PowerShell yang mengeksekusi skrip PowerShell yang dikompresi gzip [malshare | VirusTotal] untuk menyuntikkan suar ke dalam memori.

PoC palsu meluncurkan skrip PowerShell

Pada Januari 2021, kelompok peretasan Lazarus Korea Utara menargetkan peneliti kerentanan melalui akun media sosial dan kerentanan browser zero-day.

Pada Maret 2021, peretas Korea Utara kembali menargetkan komunitas infosec dengan membuat perusahaan keamanan siber palsu bernama SecuriElite (berlokasi di Turki).

Pada bulan November, peretasan Lazarus melakukan kampanye lain menggunakan versi trojan dari aplikasi rekayasa balik IDA Pro yang menginstal trojan akses jarak jauh NukeSped.

Dengan menargetkan komunitas infosec, pelaku ancaman tidak hanya mendapatkan akses ke penelitian kerentanan yang mungkin sedang dikerjakan korban, tetapi juga berpotensi mendapatkan akses ke jaringan perusahaan keamanan siber.

Karena perusahaan keamanan siber cenderung memiliki informasi sensitif tentang klien, seperti penilaian kerentanan, kredensial akses jarak jauh, atau bahkan kerentanan zero-day yang tidak diungkapkan, jenis akses ini bisa sangat berharga bagi pelaku ancaman.

Sumber: Bleeping Computer

Microsoft Teams di Windows 11 diretas pada hari pertama Pwn2Own

by

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, dan Nguyễn Hoàng Thạch) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer).

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama kontes Pwn2Own Vancouver 2022, peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Sumber: BleepingComputer

NVIDIA memperbaiki sepuluh kerentanan di driver tampilan GPU Windows

by

NVIDIA telah merilis pembaruan keamanan untuk berbagai model kartu grafis, menangani 4 kerentanan tingkat tinggi dan 6 kerentanan tingkat menengah di driver GPU-nya.

Pembaruan keamanan memperbaiki kerentanan yang dapat menyebabkan penolakan layanan, pengungkapan informasi, peningkatan hak istimewa, eksekusi kode, dll.

Pembaruan telah tersedia untuk produk perangkat lunak Tesla, RTX/Quadro, NVS, Studio, dan GeForce, yang mencakup cabang driver R450, R470, dan R510.

CVE diperbaiki untuk setiap cabang driver (NVIDIA)

Menariknya, selain lini produk saat ini dan terbaru yang didukung secara aktif, rilis terbaru NVIDIA juga mencakup kartu seri GTX 600 dan GTX 700 Kepler, yang dukungannya berakhir pada Oktober 2021.

Pembuat GPU sebelumnya berjanji untuk terus memberikan pembaruan keamanan penting untuk produk ini hingga September 2024, dan pembaruan driver ini memenuhi janji itu.

Empat kelemahan tingkat tinggi yang diperbaiki bulan ini adalah:

  • CVE-2022-28181 (Skor CVSS v3: 8.5) – Penulisan di luar batas di lapisan mode kernel yang disebabkan oleh shader yang dibuat khusus yang dikirim melalui jaringan, berpotensi mengarah pada eksekusi kode, penolakan layanan, peningkatan hak istimewa, informasi pengungkapan, dan manipulasi data.
  • CVE-2022-28182 (CVSS v3 skor: 8.5) – Cacat dalam driver mode pengguna DirectX11 yang memungkinkan penyerang yang tidak sah untuk mengirim berbagi yang dibuat khusus melalui jaringan dan menyebabkan penolakan layanan, peningkatan hak istimewa, pengungkapan informasi, dan gangguan data.
  • CVE-2022-28183 (CVSS v3 skor: 7.7) – Kerentanan di lapisan mode kernel, di mana pengguna biasa yang tidak memiliki hak dapat menyebabkan pembacaan di luar batas, yang dapat menyebabkan penolakan layanan dan pengungkapan informasi.
  • CVE-2022-28184 (skor CVSS v3: 7.1) – Kerentanan dalam pengendali lapisan mode kernel (nvlddmkm.sys) untuk DxgkDdiEscape, di mana pengguna biasa yang tidak memiliki hak dapat mengakses register yang memiliki hak istimewa administrator, yang dapat menyebabkan penolakan layanan, pengungkapan informasi , dan gangguan data.

    • Kerentanan ini memerlukan hak istimewa yang rendah dan tidak ada interaksi pengguna, sehingga mereka dapat dimasukkan ke dalam malware, memungkinkan penyerang untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

    Dua yang pertama dapat dieksploitasi melalui jaringan, sementara dua lainnya dieksploitasi dengan akses lokal, yang masih dapat membantu malware yang menginfeksi sistem dengan hak istimewa rendah.

    Cisco Talos, yang menemukan CVE-2022-28181 dan CVE-2022-28182, juga telah menerbitkan posting hari ini yang merinci bagaimana mereka memicu kelemahan korupsi memori dengan memasok shader komputasi yang salah.

    Karena pelaku ancaman dapat menggunakan shader berbahaya di browser oleh WebAssembly dan WebGL, Talos memperingatkan bahwa pelaku ancaman mungkin dapat memicu ini dari jarak jauh.

    “File executable/shader yang dibuat khusus dapat menyebabkan kerusakan memori. Kerentanan ini berpotensi dipicu dari mesin tamu yang menjalankan lingkungan virtualisasi (yaitu VMware, qemu, VirtualBox, dll.) untuk melakukan pelarian tamu-ke-host. Secara teoritis ini Kerentanan juga bisa dipicu dari browser web menggunakan webGL dan webassembly,” jelas Talos tentang CVE-2022-28181.

    Semua pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis sesegera mungkin. Pengguna dapat mengunduh driver terbaru untuk model GPU mereka dari bagian pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

    Pembaruan juga dapat diterapkan melalui rangkaian GeForce Experience NVIDIA.

    Namun, jika Anda tidak secara khusus memerlukan perangkat lunak untuk menyimpan profil game atau menggunakan fitur streaming, kami sarankan untuk tidak menggunakannya karena menimbulkan risiko keamanan yang tidak perlu dan penggunaan sumber daya.

    Sumber: Bleeping Computer

    Nvidia

Microsoft: Botnet Sysrv menargetkan server Windows, Linux dengan eksploitasi baru

by

Microsoft mengatakan botnet Sysrv sekarang mengeksploitasi kerentanan di Spring Framework dan WordPress untuk menjerat dan menyebarkan malware cryptomining pada server Windows dan Linux yang rentan.

Redmond menemukan varian baru (dilacak sebagai Sysrv-K) yang telah ditingkatkan dengan lebih banyak kemampuan, termasuk memindai penyebaran WordPress dan Spring yang belum ditambal.

“Kerentanan ini, yang semuanya telah diatasi oleh pembaruan keamanan, termasuk kerentanan lama di plugin WordPress, serta kerentanan yang lebih baru seperti CVE-2022-22947.”

CVE-2022-22947 adalah kerentanan injeksi kode di library Spring Cloud Gateway yang dapat disalahgunakan untuk eksekusi kode jarak jauh pada host yang belum ditambal.

Sebagai bagian dari kemampuan yang baru ditambahkan ini, Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mencuri kredensial basis data, yang kemudian digunakan untuk mengambil alih server web.

Pertama kali ditemukan oleh peneliti keamanan Alibaba Cloud (Aliyun) pada Februari setelah aktif sejak Desember 2020, malware ini juga mendarat di radar peneliti keamanan di Lacework Labs dan Juniper Threat Labs menyusul lonjakan aktivitas di bulan Maret.

Seperti yang mereka amati, Sysrv memindai Internet untuk server perusahaan Windows dan Linux yang rentan dan menginfeksi mereka dengan penambang Monero (XMRig) dan muatan malware yang menyebar sendiri.

Untuk meretas masuk ke server web ini, botnet mengeksploitasi kelemahan dalam aplikasi web dan database, seperti PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, dan Apache Struts.

Setelah membunuh penambang cryptocurrency yang bersaing dan menyebarkan muatannya sendiri, Sysrv juga menyebar secara otomatis melalui jaringan melalui serangan brute force menggunakan kunci pribadi SSH yang dikumpulkan dari berbagai lokasi di server yang terinfeksi (mis., riwayat bash, konfigurasi ssh, dan file known_hosts).

Komponen propagator botnet akan secara agresif memindai Internet untuk sistem Windows dan Linux yang lebih rentan untuk ditambahkan ke pasukan bot penambangan Monero.

Sysrv sepenuhnya mengkompromikan mereka menggunakan eksploitasi yang menargetkan injeksi kode jarak jauh atau kerentanan eksekusi yang memungkinkannya mengeksekusi kode berbahaya dari jarak jauh.

Sumber: Bleeping Computer