澳门新葡亰网址下载新的 Linux 后门开始肆虐,主要攻击中国服务器

by admin on 2020年3月31日

澳门新葡亰网址下载 1

一种新的 Linux 系统后门已经开始肆虐,并主要运行在位于中国的 Linux
服务器上。

Check
Point和Certego发布报告指出,近期新型加密货币挖矿恶意软件“RubyMiner”使用多项漏洞利用,在网上搜寻老旧的Web服务器,企图感染目标。

来自美国安全公司趋势科技的专家表示,他们有证据证明这些攻击与过去发生在
Jenkins 服务器上的攻击有关:黑客组织利用 CVE-2017-1000353 漏洞在 Jenkins
设备上安装 Moner 矿工,获得了约 300 万美元。

澳门新葡亰网址下载 2

攻击者瞄准Linux和Windows服务器

Ixia的安全研究人员斯蒂芬·塔纳斯(Stefan
Tanase)向外媒表示,RubyMiner组织使用Web服务器识别工具“p0f”扫描识别运行过时软件的Linux和Windows服务器。一旦识别出未打补丁的服务器,攻击者会利用已知的漏洞利用实施入侵,并利用RubyMiner进一步感染目标。

Check
Point和Ixia公司称,它们发现攻击者在近期这起攻击活动中部署以下漏洞利用:

Ruby on Rails XML处理器YAML反序列化代码执行漏洞 (CVE-2013-0156)

PHP php-cgi
查询字符串参数代码执行漏洞
(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、
CVE-2013-4878)

微软IIS ASP 脚本源代码泄露漏洞(CVE-2005-2678)

显而易见,RubyMiner的目标是Windows和Linux系统。

这次,攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP
的开源网络监视和图形工具,更具体地说,是在其 Network Weathermap
插件中负责可视化网络活动。

据 ZDNet 报导,该恶意软件名为
SpeakUp,三周前由
Check Point 安全研究人员发现。研究人员表示黑客利用 PHP 框架 ThinkPHP
的漏洞 CVE-2018-20062 进行攻击,一旦 SpeakUp
入侵易受攻击的系统,那么黑客就可以使用它来修改本地 cron
应用以获得启动持久性,并运行 shell
命令,执行从远程命令与控制服务器(C&C)下载的文件,以及更新或卸载自身。

攻击者将恶意代码隐藏在robots.txt文件中

Check
Point根据其蜜罐收集的数据破解了RubyMiner在Linux系统上的感染程序,从而得出以下结论:

漏洞利用包含一系列Shell命令;

攻击者清除了所有Cron定时任务;

攻击者新增每小时要执行的Cron定时任务;

新的Cron定时任务下载在线托管的脚本;

脚本藏在各个域名的robots.txt文件内;

脚本下载并安装篡改版的XMRig门罗币挖矿应用。

Check
Point的安全研究人员勒特姆·芬克尔斯坦向外媒表示,他们发现攻击者以Windows
IIS服务器为目标,但尚未能获取这款恶意软件的Windows版副本。

这起攻击之所以被发现,部分原因在于攻击者用来将恶意命令隐藏到robots.txt(lochjol[.]com)的其中一个域名曾在2013年的一起恶意软件攻击活动中使用过。后者也使用了RubyMiner部署的Ruby
on Rails漏洞利用,这说明这些攻击活动是同一组织所为。

就像在以前的攻击一样,黑客利用这个漏洞获得底层服务器的代码执行能力,在这些服务器上他们下载并安装了一个合法的
Monero 挖掘软件 XMRig 的定制版本。

此外 SpeakUp 还附带了一个内置的 Python
脚本,恶意软件通过该脚本在本地网络中横向传播。脚本可以扫描本地网络以查找开放端口,使用预定义的用户名和密码列表对附近的系统进行暴力破解,并使用以下七个漏洞中的一个来接管未打补丁的系统:

RubyMiner已感染700台服务器

据Check
Point预估,RubyMiner感染的服务器数量大约有700台。从RubyMiner部署的自定义挖矿程序中发现的钱包地址来看,攻击者赚取了约540美元。

由研究人员认为,如果攻击者使用最近的漏洞利用,而非十年前的漏洞,其成功率会更高。比如,最近媒体报道称,2017年10月攻击者曾利用Oracle
WebLogic服务器赚取了22.6万美元。

攻击者还修改了本地 cron 作业,每三分钟触发一次“watchd0g”Bash
脚本,该脚本检查 Monero 矿工是否仍处于活动状态,并在 XMRig
的进程停止时重新启动它。

  • CVE-2012-0874: JBoss 企业应用程序平台多安全绕过漏洞

  • CVE-2010-1871: JBoss Seam Framework 远程代码执行

  • JBoss AS 3/4/5/6: 远程命令执行

  • CVE-2017-10271: Oracle WebLogic wls-wsat 组件反序列化 RCE

  • CVE-2018-2894: Oracle Fusion Middleware 的 Oracle WebLogic Server
    组件中的漏洞

  • Hadoop YARN ResourceManager – Command Execution

  • CVE-2016-3088: Apache ActiveMQ 文件服务器文件上载远程执行代码漏洞

门罗币挖矿恶意软件不断增多

近几个月,加密货币挖矿攻击企图猖獗,尤其是门罗币挖矿恶意软件。除了门罗币劫持事件,2017年出现了众多门罗币挖矿恶意软件,包括Digmine、
Hexmen、Loapi、Zealot、WaterMiner、CodeFork和Bondnet。研究人员在2018年年初的两周就已经发现针对Linux服务器的恶意软件PyCryptoMiner,此外,研究人员还发现有黑客利用Oracle
WebLogic漏洞开采门罗币。

上述提到的大多数瞄准Web服务器的挖矿攻击事件中,攻击者尝试利用最近的漏洞利用。但是,RubyMiner较特殊,因为攻击者使用的是非常老旧的漏洞利用。芬克尔斯坦表示,攻击者可能一直在故意搜寻系统管理员遗忘在网络上的PC以及使用老旧版本的服务器。感染这些设备意味着能长期潜伏进行挖矿。

攻击者使用这种简单的操作模式收获了大约 320 XMR(75,000
美元)。所有受感染的服务器都运行
Linux,大多数受害者位于日本(12%),中国(10%),台湾(10%)和美国(9%)。

Check Point 表示 SpeakUp 可以在六种不同的 Linux 发行版甚至 macOS
系统上运行,其背后的黑客团队目前主要使用该恶意软件在受感染的服务器上部署
Monero 加密货币矿工,并且目前已经获得了大约 107 枚 Monero 币,大约是
4500 美元。

由于 Cacti
系统通常设计为运行并密切关注内部网络,因此不应在线访问此类实例。

目前感染的地图显示,SpeakUp
受害者主要集中在亚洲和南美洲,其中以中国为主。

原文:BleepingComputer 
编译:开源中国

澳门新葡亰网址下载 3

研究人员表示,就已经掌握的信息来看,SpeakUp 作者目前仅使用 ThinkPHP
的漏洞 CVE-2018-20062 进行利用,该漏洞允许远程攻击者通过精心使用 filter
参数来执行任意 PHP 代码,但其实他们可以轻松切换到任何其它漏洞,将
SpeakUp 后门扩展到更广泛的目标。

(文/开源中国)    

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图