|
|
CryptoJacker的新shell腳本A7可以從阿里巴巴和騰訊中刪除云安全代理,以避免CoinMiner檢測(cè)����。
1.jpg (38.23 KB, 下載次數(shù): 712)
下載附件
遠(yuǎn)程控制軟件
2019-1-19 12:03 上傳
一組專門用加密貨幣挖掘軟件感染服務(wù)器的黑客已經(jīng)開(kāi)始禁用云環(huán)境中使用的安全軟件代理來(lái)逃避檢測(cè)��。該集團(tuán)在安全行業(yè)被稱為Rock��,自2018年4月以來(lái)一直活躍����,并以利用Web應(yīng)用程序框架和服務(wù)器(如Apache Struts、Oracle Weblogic和Adobe ColdFusion)中的關(guān)鍵漏洞而聞名��。
一旦進(jìn)入服務(wù)器��,攻擊者就會(huì)執(zhí)行shell腳本����,下載并安裝Monero Cryptocurrency Mining惡意軟件(針對(duì)Linux或Windows),具體取決于服務(wù)器的操作系統(tǒng)。Palo Alto Networks的研究人員分析了Roke的Linux shell腳本的最新樣本����,這些腳本被認(rèn)為與另一個(gè)叫Iron的網(wǎng)絡(luò)犯罪組織開(kāi)發(fā)的Xbash惡意軟件有關(guān)����。不同群體之間的工具重疊并不罕見(jiàn),特別是因?yàn)樵S多攻擊工具都是公開(kāi)提供的�,或者在地下市場(chǎng)上進(jìn)行商業(yè)銷售。
然而����,分析后的roke示例有一個(gè)新特性,在硬幣挖掘攻擊中沒(méi)有觀察到:在部署coinminer之前����,惡意腳本搜索五種不同的云安全保護(hù)和監(jiān)控產(chǎn)品,并將它們從服務(wù)器上卸載��。
Palo Alto Networks的研究人員在一份報(bào)告中說(shuō):“這些產(chǎn)品是由騰訊云(Tencent Cloud)和阿里巴巴云(Aliyun)開(kāi)發(fā)的��,這兩家中國(guó)領(lǐng)先的云提供商正在全球擴(kuò)張業(yè)務(wù)�。”據(jù)我們所知�,這是第一個(gè)惡意軟件系列,開(kāi)發(fā)了獨(dú)特的能力,以目標(biāo)和刪除云安全產(chǎn)品����。這也突顯了Gartner定義的云工作負(fù)載保護(hù)平臺(tái)市場(chǎng)中產(chǎn)品面臨的新挑戰(zhàn)��!
關(guān)閉Coinminer競(jìng)爭(zhēng)對(duì)手并殺死安全工具
Roke的惡意shell腳本(稱為A7)執(zhí)行了幾個(gè)任務(wù)����,為硬幣開(kāi)采操作奠定了基礎(chǔ)。首先����,它設(shè)置Linuxcron作業(yè)以在重新啟動(dòng)時(shí)實(shí)現(xiàn)持久性。然后��,它搜索并殺死其他加密貨幣挖掘過(guò)程��,并添加iptables(防火墻)規(guī)則以阻止競(jìng)爭(zhēng)的鑄幣商運(yùn)行�。最后,它卸載了基于代理的云安全產(chǎn)品�,然后才下載自己的CoinMining程序,執(zhí)行它�,隱藏它的過(guò)程并修改它的文件日期,這樣事件響應(yīng)者就不容易找到它����。
惡意軟件針對(duì)的五種安全解決方案是:
阿里巴巴威脅檢測(cè)服務(wù)代理
阿里云監(jiān)控代理�,監(jiān)控CPU��、內(nèi)存使用和網(wǎng)絡(luò)連接
阿里云助理代理�,用于云實(shí)例的自動(dòng)管理
騰訊主機(jī)安全代理
騰訊云監(jiān)控代理
似乎隨著時(shí)間的推移,Roke針對(duì)云環(huán)境的檢測(cè)規(guī)避技術(shù)也在不斷發(fā)展����,因?yàn)樵缙诘氖纠辉噲D殺死騰訊云監(jiān)控進(jìn)程����。當(dāng)這被證明是無(wú)效的時(shí)候,集團(tuán)接受了騰訊和阿里巴巴網(wǎng)站上的代理卸載指令并實(shí)施了它們����。
該集團(tuán)有依賴開(kāi)源信息和資源的習(xí)慣,這種技術(shù)在安全行業(yè)被稱為“遠(yuǎn)離土地生活”��。在過(guò)去的攻擊中��,它將惡意文件托管在Github��、Gitlab和基于中國(guó)的Gitee上的源代碼存儲(chǔ)庫(kù)中����,并使用了開(kāi)源工具�,如IP掃描儀�、代理和暴力工具包。該組織還將包含各種漏洞的公共存儲(chǔ)庫(kù)分叉�,包括影子經(jīng)紀(jì)人泄露的NSA漏洞。
這種針對(duì)云安全代理的新檢測(cè)規(guī)避技術(shù)可能會(huì)被其他網(wǎng)絡(luò)犯罪集團(tuán)采用����,并且可能會(huì)擴(kuò)展到涵蓋其他供應(yīng)商的服務(wù)器安全軟件。
勒索軟件�、濫用服務(wù)器和計(jì)算機(jī)進(jìn)行未經(jīng)授權(quán)的加密貨幣挖掘是網(wǎng)絡(luò)犯罪分子最賺錢、最容易實(shí)施的攻擊之一��,因此這些攻擊可能會(huì)繼續(xù)下去�。事實(shí)上,安全行業(yè)已經(jīng)觀察到一些群體從勒索軟件轉(zhuǎn)向投幣采礦��,或者在相同的攻擊中將兩者結(jié)合起來(lái)��。
Palo Alto的研究人員說(shuō):“Roke Group使用的惡意軟件變體就是一個(gè)例子��,證明基于代理的云安全解決方案可能不足以阻止針對(duì)公共云基礎(chǔ)設(shè)施的規(guī)避惡意軟件������!
|
|
加載中...
發(fā)表于 2019-1-19 12:03:44
收藏