華為云被更新的加密惡意軟件攻擊

以前用于在 2020 年針對(duì) Docker 容器的 Linux 加密挖掘惡意軟件的新版本現(xiàn)在專注于像華為云這樣的新云服務(wù)提供商。

對(duì)新活動(dòng)的分析來自 TrendMicro 的研究人員，他們解釋了惡意軟件如何在保留其先前功能的同時(shí)隨著新功能的發(fā)展而演變。

更具體地說，較新的示例已經(jīng)注釋掉了防火墻規(guī)則創(chuàng)建功能（但它仍然存在）并繼續(xù)刪除網(wǎng)絡(luò)掃描程序以將其他主機(jī)映射到 API 相關(guān)端口。

但是，新的惡意軟件版本僅針對(duì)云環(huán)境，現(xiàn)在正在尋找并刪除之前可能感染系統(tǒng)的任何其他加密劫持腳本。

當(dāng)感染 Linux 系統(tǒng)時(shí)，惡意硬幣礦工將執(zhí)行以下步驟，其中包括刪除由競(jìng)爭(zhēng)加密挖掘惡意軟件分發(fā)者創(chuàng)建的用戶。

刪除其他威脅參與者創(chuàng)建的用戶后，參與者添加自己的用戶，這是許多針對(duì)云的加密劫持者的常見步驟。然而，與許多其他加密礦工不同的是，該惡意軟件將他們的用戶帳戶添加到 sudoers 列表中，賦予他們對(duì)設(shè)備的 root 訪問權(quán)限。

為了確保在設(shè)備上保持持久性，攻擊者使用自己的 ssh-RSA 密鑰來執(zhí)行系統(tǒng)修改并將文件權(quán)限更改為鎖定狀態(tài)。

這意味著即使其他參與者將來獲得對(duì)設(shè)備的訪問權(quán)限，他們也無法完全控制易受攻擊的機(jī)器。

攻擊者安裝 Tor 代理服務(wù)以保護(hù)通信免受網(wǎng)絡(luò)掃描檢測(cè)和審查，通過它傳遞所有連接以進(jìn)行匿名化。

被丟棄的二進(jìn)制文件（“l(fā)inux64_shell”，“ff.sh”，“fczyo”，“xlinux”）功能混淆的一些水平，趨勢(shì)科技已經(jīng)看到了UPX加殼程序的跡象已經(jīng)部署了包裝。

攻擊者已經(jīng)通過進(jìn)一步的篡改來調(diào)整二進(jìn)制文件以針對(duì)自動(dòng)分析和檢測(cè)工具集進(jìn)行隱蔽。

在設(shè)備上站穩(wěn)腳跟后，黑客的腳本將利用遠(yuǎn)程系統(tǒng)并用惡意腳本和加密礦工感染它們。

在這次攻擊中掃描的已知漏洞包括：

• SSH 弱密碼

• Oracle 融合中間件的 Oracle WebLogic Server 產(chǎn)品中的漏洞 (CVE-2020-14882)

• Redis 未授權(quán)訪問或弱密碼

• PostgreSQL 未授權(quán)訪問或弱密碼

• SQLServer弱密碼

• MongoDB 未授權(quán)訪問或弱密碼

• 文件傳輸協(xié)議 (FTP) 弱密碼

• 轟炸下的 CSP

華為云是一項(xiàng)相對(duì)較新的服務(wù)，但這家中國(guó)科技巨頭聲稱它已經(jīng)為超過 300 萬客戶提供服務(wù)。TrendMicro 已將此次活動(dòng)通知華為，但尚未收到確認(rèn)。

無論您部署實(shí)例，請(qǐng)記住，運(yùn)行漏洞評(píng)估和惡意軟件掃描可能不足以抵御這種攻擊。您需要評(píng)估您的 CSP 的安全模型并調(diào)整您的方法以通過進(jìn)一步的保護(hù)對(duì)其進(jìn)行補(bǔ)充。

這些以云為目標(biāo)的加密礦工自年初以來一直在上升，只要加密貨幣價(jià)值飆升，參與者就會(huì)有動(dòng)力讓他們變得更強(qiáng)大、更難被發(fā)現(xiàn)。