真正的挖礦app(挖礦木馬盯上華為云)

文章插圖

  

• 趨勢(shì)科技研究員發(fā)現(xiàn)，攻擊者正使用新版Linux挖礦木馬瞄準(zhǔn)華為云用戶；
• 新版木馬會(huì)禁用華為云Linux代理進(jìn)程hostguard、華為云用戶重置密碼的代理進(jìn)程cloudResetPwdUpdateAgent等安全相關(guān)默認(rèn)程序，并擁有較高的隱蔽和防刪除能力；
• 新版木馬主要利用云服務(wù)配置錯(cuò)誤發(fā)動(dòng)攻擊，比如弱密碼、未授權(quán)訪問漏洞等 。

曾于2020年針對(duì)Docker容器的Linux加密貨幣挖礦木馬最近迎來新版本，將矛頭指向華為云等新興云服務(wù)商 。根據(jù)趨勢(shì)科技研究人員對(duì)最新惡意活動(dòng)的分析結(jié)論，這款惡意軟件已經(jīng)在保留原有功能的同時(shí)進(jìn)一步發(fā)展出新的攻擊能力 。具體來講，新版本中的防火墻規(guī)則創(chuàng)建功能已經(jīng)被注釋掉（但仍然存在），而且仍會(huì)刪除網(wǎng)絡(luò)掃描程序以將其他主機(jī)映射至API相關(guān)的端口 。這個(gè)新版本僅針對(duì)云環(huán)境，而且會(huì)尋找并刪除此前感染系統(tǒng)中可能存在的一切其他加密貨幣挖礦腳本 。當(dāng)感染Linux系統(tǒng)后，這款挖礦木馬會(huì)分步執(zhí)行以下操作，包括刪除由其他加密貨幣挖礦木馬分發(fā)者創(chuàng)建的用戶 。

文章插圖
 惡意軟件的行動(dòng)順序在刪除其他攻擊者創(chuàng)建的用戶之后，此木馬會(huì)添加自己的用戶，這也是以云為目標(biāo)的挖礦木馬的常見操作 。但與其他常見木馬不同的是，這款惡意軟件會(huì)把用戶賬戶添加至sudoers列表當(dāng)中，即賦予其root訪問權(quán)限 。為了確保長(zhǎng)久駐留在目標(biāo)設(shè)備上，攻擊者還使用自有ssh-RSA密鑰修改系統(tǒng)，并將文件權(quán)限變更為鎖定狀態(tài) 。如此一來，即使其他攻擊者未來也取得了設(shè)備訪問權(quán)，也仍無法全面控制這臺(tái)受感染的機(jī)器 。此木馬還會(huì)安裝Tor代理服務(wù)以保護(hù)通信內(nèi)容免受網(wǎng)絡(luò)掃描檢測(cè)與審查，并由此傳遞所有連接以實(shí)現(xiàn)匿名化訪問 。

文章插圖
 二進(jìn)制文件部署圖這里投放的各個(gè)二進(jìn)制文件(“l(fā)inux64_shell”, ”ff.sh”, “fczyo”, “xlinux”)都經(jīng)過一定程度的混淆，趨勢(shì)科技還在部署當(dāng)中發(fā)現(xiàn)了使用UPX加殼程序的跡象 。

文章插圖
 在二進(jìn)制文件中發(fā)現(xiàn)的UPX標(biāo)頭攻擊者還進(jìn)一步篡改并調(diào)整二進(jìn)制文件，著力回避自動(dòng)分析及檢測(cè)工具的追蹤 。在設(shè)備上站穩(wěn)腳跟后，接下來就是利用惡意腳本與加密貨幣挖礦木馬完成后續(xù)感染 。在此次攻擊中掃描到的已知漏洞包括：? SSH弱密碼? Oracle Fusion Middleware的Oracle WebLogic Server產(chǎn)品漏洞(CVE-2020-14882)? Redis未授權(quán)訪問或弱密碼? PostgreSQL未授權(quán)訪問或弱密碼? SQLServer弱密碼? MongoDB未授權(quán)訪問或弱密碼? 文件傳輸協(xié)議（FTP）弱密碼云服務(wù)商正面臨挖礦木馬的狂轟濫炸華為云推出的時(shí)間相對(duì)較晚，但這家科技巨頭宣稱已經(jīng)為超過300萬客戶提供服務(wù) 。趨勢(shì)科技已將此次攻擊通報(bào)給華為，但尚未收到確認(rèn)回復(fù) 。無論大家是否部署有實(shí)例，請(qǐng)注意，僅憑漏洞評(píng)估與惡意軟件掃描可能不足以抵御本輪攻擊 。您需要評(píng)估云服務(wù)商的安全模型并調(diào)整使用方式，通過進(jìn)一步保護(hù)建立必要的安全補(bǔ)充措施 。自今年年初以來，以云環(huán)境為目標(biāo)的挖礦木馬一直在增加 。只要加密貨幣價(jià)格繼續(xù)一路飆升，攻擊者們?cè)陂_發(fā)更強(qiáng)大、更難被發(fā)現(xiàn)的挖礦木馬方面就始終擁有旺盛的動(dòng)力 。責(zé)任編輯：

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請(qǐng)您及時(shí)就醫(yī)或請(qǐng)專業(yè)人士給予相關(guān)指導(dǎo)!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對(duì)您有所幫助：

• 挖礦一天能賺2000元真的假的
• 從赫爾辛基到蘇黎世，美國(guó)想重演木馬屠城嗎
• 共享充電寶被植木馬真的假的
• 區(qū)塊鏈?zhǔn)謾C(jī) , 真的能“挖礦” 手機(jī)區(qū)塊鏈挖礦哪個(gè)好
• 現(xiàn)在網(wǎng)絡(luò)用語(yǔ)“木馬”的意思是什么？
• 好玩吧挖礦靠譜嗎
• 賣奶粉的盯上了老年人 騙老年人賣羊奶粉
• 現(xiàn)代人生活壓力大 情緒病悄悄盯上你
• 躁狂抑郁癥盯上現(xiàn)代人 基礎(chǔ)知識(shí)盤點(diǎn)