木马盯上华为云，防火墙不可少

2020年针对Docker容器的Linux加密货币挖矿木马最近迎来了新版本，将目标对准华为云等新兴云服务提供商。根据趋势科技研究人员对最新恶意活动的分析结论，这款恶意软件在保留原有功能的同时，还进一步发展了新的攻击能力。

具体来说，新版本的木马已经注释掉（但仍然存在）防火墙规则创建功能，并会删除网络扫描程序，以将其他主机映射至API相关的端口。

该新版本只针对云环境，并且会寻找并删除之前感染系统中可能存在的所有其他加密货币挖矿脚本。一旦感染了Linux系统，这款挖矿木马会按步骤执行以下操作，包括删除其他加密货币挖矿木马分发者创建的用户。

在删除其他攻击者创建的用户之后，该木马会添加自己的用户，并将其添加到sudoers列表中，即赋予其root访问权限。为了确保长期存在于目标设备上，攻击者还使用自有ssh-RSA密钥修改系统，并将文件权限变更为锁定状态。这样，即使其他攻击者未来也能够访问设备，他们仍无法完全控制受感染的机器。

此木马还会安装Tor代理服务，以保护通信内容免受网络扫描检测与审查，并通过传递所有连接来实现匿名化访问。

另外，投放的各个二进制文件经过一定程度的混淆，趋势科技还发现了使用UPX加壳程序的迹象。攻击者进一步篡改并调整二进制文件，致力于回避自动分析及检测工具的追踪。

在设备上站稳脚跟后，攻击者会利用恶意脚本与加密货币挖矿木马完成后续感染。此次攻击中发现的已知漏洞包括SSH弱密码、OracleFusionMiddleware的OracleWebLogicServer产品漏洞(CVE-2020-14882)、Redis未授权访问或弱密码、PostgreSQL未授权访问或弱密码、SQLServer弱密码以及MongoDB未授权访问或弱密码等。

华为云推出较晚，但声称已为超过300万客户提供服务。趋势科技已向华为通报了此次攻击，但还未收到确认回复。无论是否部署了实例，请注意，仅依靠漏洞评估和恶意软件扫描可能不足以抵御此次攻击。您需要评估云服务提供商的安全模型并调整使用方式，通过进一步的保护措施建立必要的安全补充措施。

自今年年初以来，针对云环境的挖矿木马一直在增加。只要加密货币价格持续上涨，攻击者在开发更强大、更难被发现的挖矿木马方面始终有动力。

参考来源：BleepingComputer.com

热点：挖矿