安全動(dòng)態(tài)

警惕!挖礦木馬盯上華為云,利用“配置錯(cuò)誤”發(fā)動(dòng)攻擊
來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-10-13    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


新版木馬會(huì)禁用華為云安全相關(guān)默認(rèn)程序,并擁有較高的隱蔽和防刪除能力。

  • 趨勢(shì)科技研究員發(fā)現(xiàn),攻擊者正使用新版Linux挖礦木馬瞄準(zhǔn)華為云用戶;
  • 新版木馬會(huì)禁用華為云Linux代理進(jìn)程hostguard、華為云用戶重置密碼的代理進(jìn)程cloudResetPwdUpdateAgent等安全相關(guān)默認(rèn)程序,并擁有較高的隱蔽和防刪除能力;
  • 新版木馬主要利用云服務(wù)配置錯(cuò)誤發(fā)動(dòng)攻擊,比如弱密碼、未授權(quán)訪問漏洞等。

曾于2020年針對(duì)Docker容器的Linux加密貨幣挖礦木馬最近迎來新版本,將矛頭指向華為云等新興云服務(wù)商。

根據(jù)趨勢(shì)科技研究人員對(duì)最新惡意活動(dòng)的分析結(jié)論,這款惡意軟件已經(jīng)在保留原有功能的同時(shí)進(jìn)一步發(fā)展出新的攻擊能力。

具體來講,新版本中的防火墻規(guī)則創(chuàng)建功能已經(jīng)被注釋掉(但仍然存在),而且仍會(huì)刪除網(wǎng)絡(luò)掃描程序以將其他主機(jī)映射至API相關(guān)的端口。

這個(gè)新版本僅針對(duì)云環(huán)境,而且會(huì)尋找并刪除此前感染系統(tǒng)中可能存在的一切其他加密貨幣挖礦腳本。當(dāng)感染Linux系統(tǒng)后,這款挖礦木馬會(huì)分步執(zhí)行以下操作,包括刪除由其他加密貨幣挖礦木馬分發(fā)者創(chuàng)建的用戶。

惡意軟件的行動(dòng)順序

在刪除其他攻擊者創(chuàng)建的用戶之后,此木馬會(huì)添加自己的用戶,這也是以云為目標(biāo)的挖礦木馬的常見操作。但與其他常見木馬不同的是,這款惡意軟件會(huì)把用戶賬戶添加至sudoers列表當(dāng)中,即賦予其root訪問權(quán)限。

為了確保長(zhǎng)久駐留在目標(biāo)設(shè)備上,攻擊者還使用自有ssh-RSA密鑰修改系統(tǒng),并將文件權(quán)限變更為鎖定狀態(tài)。

如此一來,即使其他攻擊者未來也取得了設(shè)備訪問權(quán),也仍無(wú)法全面控制這臺(tái)受感染的機(jī)器。

此木馬還會(huì)安裝Tor代理服務(wù)以保護(hù)通信內(nèi)容免受網(wǎng)絡(luò)掃描檢測(cè)與審查,并由此傳遞所有連接以實(shí)現(xiàn)匿名化訪問。

二進(jìn)制文件部署圖

這里投放的各個(gè)二進(jìn)制文件(“l(fā)inux64_shell”, ”ff.sh”, “fczyo”, “xlinux”)都經(jīng)過一定程度的混淆,趨勢(shì)科技還在部署當(dāng)中發(fā)現(xiàn)了使用UPX加殼程序的跡象。

在二進(jìn)制文件中發(fā)現(xiàn)的UPX標(biāo)頭

攻擊者還進(jìn)一步篡改并調(diào)整二進(jìn)制文件,著力回避自動(dòng)分析及檢測(cè)工具的追蹤。

在設(shè)備上站穩(wěn)腳跟后,接下來就是利用惡意腳本與加密貨幣挖礦木馬完成后續(xù)感染。

在此次攻擊中掃描到的已知漏洞包括:

? SSH弱密碼

? Oracle Fusion Middleware的Oracle WebLogic Server產(chǎn)品漏洞(CVE-2020-14882)

? Redis未授權(quán)訪問或弱密碼

? PostgreSQL未授權(quán)訪問或弱密碼

? SQLServer弱密碼

? MongoDB未授權(quán)訪問或弱密碼

? 文件傳輸協(xié)議(FTP)弱密碼

云服務(wù)商正面臨挖礦木馬的狂轟濫炸

華為云推出的時(shí)間相對(duì)較晚,但這家科技巨頭宣稱已經(jīng)為超過300萬(wàn)客戶提供服務(wù)。趨勢(shì)科技已將此次攻擊通報(bào)給華為,但尚未收到確認(rèn)回復(fù)。

無(wú)論大家是否部署有實(shí)例,請(qǐng)注意,僅憑漏洞評(píng)估與惡意軟件掃描可能不足以抵御本輪攻擊。您需要評(píng)估云服務(wù)商的安全模型并調(diào)整使用方式,通過進(jìn)一步保護(hù)建立必要的安全補(bǔ)充措施。

自今年年初以來,以云環(huán)境為目標(biāo)的挖礦木馬一直在增加。只要加密貨幣價(jià)格繼續(xù)一路飆升,攻擊者們?cè)陂_發(fā)更強(qiáng)大、更難被發(fā)現(xiàn)的挖礦木馬方面就始終擁有旺盛的動(dòng)力。

參考來源:https://www.bleepingcomputer.com/news/security/huawei-cloud-targeted-by-updated-cryptomining-malware/


 
 

上一篇:微軟稱伊朗國(guó)家黑客攻擊美國(guó)國(guó)防技術(shù)公司

下一篇:2021年10月13日聚銘安全速遞