Rocke coinminer禁用云保護代理

admin

CryptoJacker的新shell腳本A7可以從阿里巴巴和騰訊中刪除云安全代理，以避免CoinMiner檢測。

一組專門用加密貨幣挖掘軟件感染服務(wù)器的黑客已經(jīng)開始禁用云環(huán)境中使用的安全軟件代理來逃避檢測。該集團在安全行業(yè)被稱為Rock，自2018年4月以來一直活躍，并以利用Web應(yīng)用程序框架和服務(wù)器（如Apache Struts、Oracle Weblogic和Adobe ColdFusion）中的關(guān)鍵漏洞而聞名。
一旦進(jìn)入服務(wù)器，攻擊者就會執(zhí)行shell腳本，下載并安裝Monero Cryptocurrency Mining惡意軟件（針對Linux或Windows），具體取決于服務(wù)器的操作系統(tǒng)。Palo Alto Networks的研究人員分析了Roke的Linux shell腳本的最新樣本，這些腳本被認(rèn)為與另一個叫Iron的網(wǎng)絡(luò)犯罪組織開發(fā)的Xbash惡意軟件有關(guān)。不同群體之間的工具重疊并不罕見，特別是因為許多攻擊工具都是公開提供的，或者在地下市場上進(jìn)行商業(yè)銷售。
然而，分析后的roke示例有一個新特性，在硬幣挖掘攻擊中沒有觀察到：在部署coinminer之前，惡意腳本搜索五種不同的云安全保護和監(jiān)控產(chǎn)品，并將它們從服務(wù)器上卸載。
Palo Alto Networks的研究人員在一份報告中說：“這些產(chǎn)品是由騰訊云（Tencent Cloud）和阿里巴巴云（Aliyun）開發(fā)的，這兩家中國領(lǐng)先的云提供商正在全球擴張業(yè)務(wù)。”據(jù)我們所知，這是第一個惡意軟件系列，開發(fā)了獨特的能力，以目標(biāo)和刪除云安全產(chǎn)品。這也突顯了Gartner定義的云工作負(fù)載保護平臺市場中產(chǎn)品面臨的新挑戰(zhàn)�！�
關(guān)閉Coinminer競爭對手并殺死安全工具
Roke的惡意shell腳本（稱為A7）執(zhí)行了幾個任務(wù)，為硬幣開采操作奠定了基礎(chǔ)。首先，它設(shè)置Linuxcron作業(yè)以在重新啟動時實現(xiàn)持久性。然后，它搜索并殺死其他加密貨幣挖掘過程，并添加iptables（防火墻）規(guī)則以阻止競爭的鑄幣商運行。最后，它卸載了基于代理的云安全產(chǎn)品，然后才下載自己的CoinMining程序，執(zhí)行它，隱藏它的過程并修改它的文件日期，這樣事件響應(yīng)者就不容易找到它。
惡意軟件針對的五種安全解決方案是：
阿里巴巴威脅檢測服務(wù)代理
阿里云監(jiān)控代理，監(jiān)控CPU、內(nèi)存使用和網(wǎng)絡(luò)連接
阿里云助理代理，用于云實例的自動管理
騰訊主機安全代理
騰訊云監(jiān)控代理
似乎隨著時間的推移，Roke針對云環(huán)境的檢測規(guī)避技術(shù)也在不斷發(fā)展，因為早期的示例只試圖殺死騰訊云監(jiān)控進(jìn)程。當(dāng)這被證明是無效的時候，集團接受了騰訊和阿里巴巴網(wǎng)站上的代理卸載指令并實施了它們。

該集團有依賴開源信息和資源的習(xí)慣，這種技術(shù)在安全行業(yè)被稱為“遠(yuǎn)離土地生活”。在過去的攻擊中，它將惡意文件托管在Github、Gitlab和基于中國的Gitee上的源代碼存儲庫中，并使用了開源工具，如IP掃描儀、代理和暴力工具包。該組織還將包含各種漏洞的公共存儲庫分叉，包括影子經(jīng)紀(jì)人泄露的NSA漏洞。
這種針對云安全代理的新檢測規(guī)避技術(shù)可能會被其他網(wǎng)絡(luò)犯罪集團采用，并且可能會擴展到涵蓋其他供應(yīng)商的服務(wù)器安全軟件。
勒索軟件、濫用服務(wù)器和計算機進(jìn)行未經(jīng)授權(quán)的加密貨幣挖掘是網(wǎng)絡(luò)犯罪分子最賺錢、最容易實施的攻擊之一，因此這些攻擊可能會繼續(xù)下去。事實上，安全行業(yè)已經(jīng)觀察到一些群體從勒索軟件轉(zhuǎn)向投幣采礦，或者在相同的攻擊中將兩者結(jié)合起來。
Palo Alto的研究人員說：“Roke Group使用的惡意軟件變體就是一個例子，證明基于代理的云安全解決方案可能不足以阻止針對公共云基礎(chǔ)設(shè)施的規(guī)避惡意軟件�！�