《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 警惕!挖礦木馬盯上華為云,利用“配置錯(cuò)誤”發(fā)動(dòng)攻擊

警惕!挖礦木馬盯上華為云,利用“配置錯(cuò)誤”發(fā)動(dòng)攻擊

2021-10-12
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 挖礦木馬 華為云

  趨勢(shì)科技研究員發(fā)現(xiàn),攻擊者正使用新版Linux挖礦木馬瞄準(zhǔn)華為云用戶(hù);

  新版木馬會(huì)禁用華為云Linux代理進(jìn)程hostguard、華為云用戶(hù)重置密碼的代理進(jìn)程cloudResetPwdUpdateAgent等安全相關(guān)默認(rèn)程序,并擁有較高的隱蔽和防刪除能力;

  新版木馬主要利用云服務(wù)配置錯(cuò)誤發(fā)動(dòng)攻擊,比如弱密碼、未授權(quán)訪(fǎng)問(wèn)漏洞等。

  曾于2020年針對(duì)Docker容器的Linux加密貨幣挖礦木馬最近迎來(lái)新版本,將矛頭指向華為云等新興云服務(wù)商。

  根據(jù)趨勢(shì)科技研究人員對(duì)最新惡意活動(dòng)的分析結(jié)論,這款?lèi)阂廛浖呀?jīng)在保留原有功能的同時(shí)進(jìn)一步發(fā)展出新的攻擊能力。

  具體來(lái)講,新版本中的防火墻規(guī)則創(chuàng)建功能已經(jīng)被注釋掉(但仍然存在),而且仍會(huì)刪除網(wǎng)絡(luò)掃描程序以將其他主機(jī)映射至API相關(guān)的端口。

  這個(gè)新版本僅針對(duì)云環(huán)境,而且會(huì)尋找并刪除此前感染系統(tǒng)中可能存在的一切其他加密貨幣挖礦腳本。當(dāng)感染Linux系統(tǒng)后,這款挖礦木馬會(huì)分步執(zhí)行以下操作,包括刪除由其他加密貨幣挖礦木馬分發(fā)者創(chuàng)建的用戶(hù)。

  微信截圖_20211012132457.png

  惡意軟件的行動(dòng)順序

  在刪除其他攻擊者創(chuàng)建的用戶(hù)之后,此木馬會(huì)添加自己的用戶(hù),這也是以云為目標(biāo)的挖礦木馬的常見(jiàn)操作。但與其他常見(jiàn)木馬不同的是,這款?lèi)阂廛浖?huì)把用戶(hù)賬戶(hù)添加至sudoers列表當(dāng)中,即賦予其root訪(fǎng)問(wèn)權(quán)限。

  為了確保長(zhǎng)久駐留在目標(biāo)設(shè)備上,攻擊者還使用自有ssh-RSA密鑰修改系統(tǒng),并將文件權(quán)限變更為鎖定狀態(tài)。

  如此一來(lái),即使其他攻擊者未來(lái)也取得了設(shè)備訪(fǎng)問(wèn)權(quán),也仍無(wú)法全面控制這臺(tái)受感染的機(jī)器。

  此木馬還會(huì)安裝Tor代理服務(wù)以保護(hù)通信內(nèi)容免受網(wǎng)絡(luò)掃描檢測(cè)與審查,并由此傳遞所有連接以實(shí)現(xiàn)匿名化訪(fǎng)問(wèn)。

  微信截圖_20211012132526.png

  二進(jìn)制文件部署圖

  這里投放的各個(gè)二進(jìn)制文件(“l(fā)inux64_shell”, “ff.sh”, “fczyo”, “xlinux”)都經(jīng)過(guò)一定程度的混淆,趨勢(shì)科技還在部署當(dāng)中發(fā)現(xiàn)了使用UPX加殼程序的跡象。

  微信截圖_20211012132632.png

  在二進(jìn)制文件中發(fā)現(xiàn)的UPX標(biāo)頭

  攻擊者還進(jìn)一步篡改并調(diào)整二進(jìn)制文件,著力回避自動(dòng)分析及檢測(cè)工具的追蹤。

  在設(shè)備上站穩(wěn)腳跟后,接下來(lái)就是利用惡意腳本與加密貨幣挖礦木馬完成后續(xù)感染。

  在此次攻擊中掃描到的已知漏洞包括:

  SSH弱密碼

   Oracle Fusion Middleware的Oracle WebLogic Server產(chǎn)品漏洞(CVE-2020-14882)

   Redis未授權(quán)訪(fǎng)問(wèn)或弱密碼

   PostgreSQL未授權(quán)訪(fǎng)問(wèn)或弱密碼

   SQLServer弱密碼

   MongoDB未授權(quán)訪(fǎng)問(wèn)或弱密碼

   文件傳輸協(xié)議(FTP)弱密碼

  云服務(wù)商正面臨挖礦木馬的狂轟濫炸

  華為云推出的時(shí)間相對(duì)較晚,但這家科技巨頭宣稱(chēng)已經(jīng)為超過(guò)300萬(wàn)客戶(hù)提供服務(wù)。趨勢(shì)科技已將此次攻擊通報(bào)給華為,但尚未收到確認(rèn)回復(fù)。

  無(wú)論大家是否部署有實(shí)例,請(qǐng)注意,僅憑漏洞評(píng)估與惡意軟件掃描可能不足以抵御本輪攻擊。您需要評(píng)估云服務(wù)商的安全模型并調(diào)整使用方式,通過(guò)進(jìn)一步保護(hù)建立必要的安全補(bǔ)充措施。

  自今年年初以來(lái),以云環(huán)境為目標(biāo)的挖礦木馬一直在增加。只要加密貨幣價(jià)格繼續(xù)一路飆升,攻擊者們?cè)陂_(kāi)發(fā)更強(qiáng)大、更難被發(fā)現(xiàn)的挖礦木馬方面就始終擁有旺盛的動(dòng)力。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。