okx

木马盯上华为云,防火墙不可少

时间:2023-06-28|浏览:197

趋势科技研究员发现,攻击者正在使用新版Linux挖矿木马针对华为云用户。新版木马会禁用华为云Linux代理进程hostguard、华为云用户重置密码的代理进程cloudResetPwdUpdateAgent等安全相关默认程序,并具备较高的隐蔽和防删除能力。攻击者利用云服务配置错误,例如弱密码、未授权访问漏洞等发动攻击。

2020年针对Docker容器的Linux加密货币挖矿木马最近迎来了新版本,将目标对准华为云等新兴云服务提供商。根据趋势科技研究人员对最新恶意活动的分析结论,这款恶意软件在保留原有功能的同时,还进一步发展了新的攻击能力。

具体来说,新版本的木马已经注释掉(但仍然存在)防火墙规则创建功能,并会删除网络扫描程序,以将其他主机映射至API相关的端口。

该新版本只针对云环境,并且会寻找并删除之前感染系统中可能存在的所有其他加密货币挖矿脚本。一旦感染了Linux系统,这款挖矿木马会按步骤执行以下操作,包括删除其他加密货币挖矿木马分发者创建的用户。

在删除其他攻击者创建的用户之后,该木马会添加自己的用户,并将其添加到sudoers列表中,即赋予其root访问权限。为了确保长期存在于目标设备上,攻击者还使用自有ssh-RSA密钥修改系统,并将文件权限变更为锁定状态。这样,即使其他攻击者未来也能够访问设备,他们仍无法完全控制受感染的机器。

此木马还会安装Tor代理服务,以保护通信内容免受网络扫描检测与审查,并通过传递所有连接来实现匿名化访问。

另外,投放的各个二进制文件经过一定程度的混淆,趋势科技还发现了使用UPX加壳程序的迹象。攻击者进一步篡改并调整二进制文件,致力于回避自动分析及检测工具的追踪。

在设备上站稳脚跟后,攻击者会利用恶意脚本与加密货币挖矿木马完成后续感染。此次攻击中发现的已知漏洞包括SSH弱密码、OracleFusionMiddleware的OracleWebLogicServer产品漏洞(CVE-2020-14882)、Redis未授权访问或弱密码、PostgreSQL未授权访问或弱密码、SQLServer弱密码以及MongoDB未授权访问或弱密码等。

华为云推出较晚,但声称已为超过300万客户提供服务。趋势科技已向华为通报了此次攻击,但还未收到确认回复。无论是否部署了实例,请注意,仅依靠漏洞评估和恶意软件扫描可能不足以抵御此次攻击。您需要评估云服务提供商的安全模型并调整使用方式,通过进一步的保护措施建立必要的安全补充措施。

自今年年初以来,针对云环境的挖矿木马一直在增加。只要加密货币价格持续上涨,攻击者在开发更强大、更难被发现的挖矿木马方面始终有动力。

参考来源:BleepingComputer.com

热点:挖矿

« 上一条| 下一条 »
区块链交流群
数藏交流群

合作伙伴

数字财经 黄金行情 谈股票 玩票票财经 妈妈知道 天天财富 趣玩币 百科书库 免费电影 代特币圈 币圈交流群 美白没斑啦 减肥瘦身吧 非小号行情 宝宝起名 起名取名网 币爸爸 培训资讯网 趣开心资讯 币圈官网 二手域名 百悦米 兼职信息网 秒懂域名 币圈论坛 借春秋财经 爱网站 佩佩蛙官网 借春秋 茶百科 去玩呗SPA 數字黃金 宠物丫 皮卡丘资讯 币圈ICO官网 装修装饰网 谷歌留痕 金色币圈 聚币网 旅游资讯网 今日黄金 周公解梦 元宇宙Web 玩合约
在区块链世界中,智能合约不仅是代码的信任,更是商业的革命。通过了解其在供应链、版权保护等领域的应用,您将真正体验到智能合约的无限可能性
区块链世界GxPiKaQiu.com ©2020-2024版权所有 桂ICP备16002597号-2