研究人员称:全球有5万台服务器感染了隐私币恶意挖矿软件

by admin on 2020年2月26日

Guardicore Labs
的安全研究人员发布了一份报告,该报告关于在全球范围内攻击
Windows MS-SQL 和 PHPMyAdmin
服务器的黑客活动,代号“Nansh0u”,且这一攻击源头是中国黑客。

澳门新葡亰平台官网 1

该恶意软件针对基于Linux的服务器发起攻击以挖掘XMR。研究人员估算,已有数千台机器受到僵尸网络感染。
近日,F5安全研究院的研究人员公布了近期发现的新型GoLang加密货币挖掘恶意软件。该恶意软件针对基于Linux的服务器发起攻击以挖掘XMR。研究人员估算,已有数千台机器受到僵尸网络感染。恶意软件利用不同漏洞功能示例
发现恶意请求,为GO语言编写的新型恶意软件
2019年6月14日,F5研究人员检测到针对ThinkPHP,Atlassian
Confluence和Drupal中漏洞的恶意请求。请求中传递的有效负载尝试通过发送相同漏洞的方式进行传播,同时试图使用多个硬编码凭据连接到Redis数据库并通过SSH协议连接。最终目的是通过上述方法将加密货币挖掘恶意软件安装至服务器,并感染其他服务器以继续传播。此次攻击行为中所利用的部分漏洞为常见目标,但发送的恶意软件却是用Go语言编写。值得注意的是,Go是一种不常被用于创建恶意程序的新编程语言。
Go语言已有将近十年的历史,通常被大多数开发者合法使用,因此使用GoLang进行恶意软件攻击的活动并不常见。2019年1月,一个早期的GoLang恶意软件样本被分析并发布。
F5
Labs的研究人员捕获的这一样本与用Go编写的Zebrocy恶意软件变种和MalwareBytes分析的盗取程序不同。经过初步判断,该样本似乎来自一款新的恶意软件,而该恶意软件目前尚未被反病毒软件供应商收录,因为检测到这一恶意软件的反病毒软件将其归为一般恶意软件类型。
瞄准Linux服务器,恶意软件以七种传播方式澳门新葡亰平台官网
该新型GoLang恶意软件专门针对Linux
服务器、通过七种不同的方式传播:包括四类Web应用程序(两种针对ThinkPHP,
一种针对Drupal,
一种针对Confluence)、SSH凭据枚举、Redis数据库密码枚举,以及尝试使用已发现的SSH密钥连接其他计算机。由于目前安装加密挖掘软件的行为已相当普遍,所以其传播技术量级之大也成为一个明显的特征。
随着F5研究人员对该恶意软件进行追本溯源,发现攻击者使用了在线剪贴板pastebin网站来托管spearhead
bash脚本,恶意软件已托管在一个被入侵的中国电子商务网站上。追查过程中研究人员发现,在剪切板和GitHub上的帐户于几天前创建,并克隆了一个基于Golang的漏洞扫描程序项目,这表明攻击者仍在实验中。而根据剪贴板和GitHhub上的用户名以及克隆项目推断,研究员们怀疑这次攻击可能是来自中国的黑客所为。Pastebin上传播恶意软件的用户信息示例
F5观点:GoLang恶意软件提示新的安全风险应引起注意
尽管这一恶意软件样本并不是F5研究人员分析过的最复杂的类型,但它所具有的独特性足以引起关注。然而攻击者尝试使用量重于质的模式来探索一种进入系统的方法,却暴露了它的不成熟。
GoLang恶意软件首次出现是在2018年中期,并在2019年持续发生。由于Go
语言主要被开发者用于合法程序,通常不会被反病毒软件收录,也正因如此,GoLang开始被恶意攻击者用作编写恶意软件的语言,使其逐渐走向了黑暗的一面,
致使Golang恶意软件开始出现在威胁场景中。
具有独特性的威胁活动和恶意软件只是F5 Labs不断检测的一部分威胁载体。

报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000
多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式
rootkit 来防止恶意软件被终止。

据称,全球有多达5万台服务器感染了一种先进的密码劫持恶意软件,这种软件会挖掘出以隐私为重点的开源加密货币turtlecoin
(TRTL)。5月29日,国际黑客和网络安全专家小组Guardicore
Labs在一份分析报告中披露了这一消息。

责任编辑:刘沙

这并非典型的加密攻击,它使用 APT (Advanced Persistent
Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。

据报道,“密码劫持”是一个行业术语,指的是在用户不知情的情况下,安装恶意软件,利用计算机的处理能力未经所有者知情或同意的加密货币进行加密数字货币挖矿。

该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700
个新的受害者。研究人员发现已存在 20
多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。

Guardicore
Labs在4月首次发现该活动并追溯其起源和进展后,认为该恶意软件在过去四个月内已在全球范围内感染了多达50,000台Windows
MS-SQL和PHPMyAdmin服务器。分析人士将袭击事件追溯到2月底,指出这场运动以“每天700多名新受害者”的速度急剧扩大。

澳门新葡亰平台官网 2

据报道,在4月13日至5月13日期间,受感染的服务器数量翻了一番,达到47985台。

在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL
命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。

Guardicore
Labs指出,恶意软件攻击不是常规的典型密码挖矿攻击,因为它依赖于高级持久威胁组中常见的技术,包括伪造证书和权限提升漏洞。

在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的
SYSTEM 权限。

研究人员以攻击者的服务器表面上使用的文本文件字符串命名,并将该活动戏称为“Nansh0u”。据信,该软件是由sinophone威胁行动者设计的,因为据报道,恶意软件中的工具是用基于中文的编程语言EPL编写的。此外,据报道,服务器上的许多日志文件和二进制文件都包含中文字符串。正如分析所解释的:

然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘
TurtleCoin 加密货币。

“被攻破的电脑包括超过5万台服务器,这些服务器属于医疗、电信、媒体和IT行业的公司。一旦受到攻击,目标服务器就会受到恶意有效负载的感染。然后,他们放下一个密码挖矿器,安装了一个复杂的内核模式rootkit,以防止恶意软件被终止。”

澳门新葡亰平台官网 3

就地域传播而言,据报道,大多数目标受害者来自中国、美国和印度——尽管该活动被认为已经扩散到多达90个国家。报告指出,加密劫持的盈利能力难以确定,因为被窃取的资金都存在于隐私货币turtlecoin中。

研究人员还发布了一份完整的IoC(危害指标)列表和一个免费的基于
PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。

在向组织发出的警告中,研究人员强调说:“此次活动再次证明,普通密码仍然是当今攻击流程中最薄弱的环节。”

由于攻击依赖于 MS-SQL 和 PHPMyAdmin
服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。

从历史上看,以隐私为中心的coinmonero(XMR)在密码窃取活动中尤其盛行。研究人员报告称,2018年年中,流通中的货币中约有5%是通过恶意软件被窃取的。

调查报告完整版:

Cointelegraph最近报道,XMR可能在今年10月转向一种新的工作证明算法,这将加大恶意挖矿劫持的难度。

(文/开源中国)    

本文首发于微信公众号:彩云区块链。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图