華為云被更新的加密惡意軟件攻擊

以前用于在 2020 年針對 Docker 容器的 Linux 加密挖掘惡意軟件的新版本現(xiàn)在專注于像華為云這樣的新云服務(wù)提供商。

對新活動的分析來自 TrendMicro 的研究人員，他們解釋了惡意軟件如何在保留其先前功能的同時隨著新功能的發(fā)展而演變。

更具體地說，較新的示例已經(jīng)注釋掉了防火墻規(guī)則創(chuàng)建功能（但它仍然存在）并繼續(xù)刪除網(wǎng)絡(luò)掃描程序以將其他主機映射到 API 相關(guān)端口。

但是，新的惡意軟件版本僅針對云環(huán)境，現(xiàn)在正在尋找并刪除之前可能感染系統(tǒng)的任何其他加密劫持腳本。

當(dāng)感染 Linux 系統(tǒng)時，惡意硬幣礦工將執(zhí)行以下步驟，其中包括刪除由競爭加密挖掘惡意軟件分發(fā)者創(chuàng)建的用戶。

刪除其他威脅參與者創(chuàng)建的用戶后，參與者添加自己的用戶，這是許多針對云的加密劫持者的常見步驟。然而，與許多其他加密礦工不同的是，該惡意軟件將他們的用戶帳戶添加到 sudoers 列表中，賦予他們對設(shè)備的 root 訪問權(quán)限。

為了確保在設(shè)備上保持持久性，攻擊者使用自己的 ssh-RSA 密鑰來執(zhí)行系統(tǒng)修改并將文件權(quán)限更改為鎖定狀態(tài)。

這意味著即使其他參與者將來獲得對設(shè)備的訪問權(quán)限，他們也無法完全控制易受攻擊的機器。

攻擊者安裝 Tor 代理服務(wù)以保護通信免受網(wǎng)絡(luò)掃描檢測和審查，通過它傳遞所有連接以進行匿名化。

被丟棄的二進制文件（“l(fā)inux64_shell”，“ff.sh”，“fczyo”，“xlinux”）功能混淆的一些水平，趨勢科技已經(jīng)看到了UPX加殼程序的跡象已經(jīng)部署了包裝。

攻擊者已經(jīng)通過進一步的篡改來調(diào)整二進制文件以針對自動分析和檢測工具集進行隱蔽。

在設(shè)備上站穩(wěn)腳跟后，黑客的腳本將利用遠程系統(tǒng)并用惡意腳本和加密礦工感染它們。

在這次攻擊中掃描的已知漏洞包括：

• SSH 弱密碼

• Oracle 融合中間件的 Oracle WebLogic Server 產(chǎn)品中的漏洞 (CVE-2020-14882)

• Redis 未授權(quán)訪問或弱密碼

• PostgreSQL 未授權(quán)訪問或弱密碼

• SQLServer弱密碼

• MongoDB 未授權(quán)訪問或弱密碼

• 文件傳輸協(xié)議 (FTP) 弱密碼

• 轟炸下的 CSP

華為云是一項相對較新的服務(wù)，但這家中國科技巨頭聲稱它已經(jīng)為超過 300 萬客戶提供服務(wù)。TrendMicro 已將此次活動通知華為，但尚未收到確認。

無論您部署實例，請記住，運行漏洞評估和惡意軟件掃描可能不足以抵御這種攻擊。您需要評估您的 CSP 的安全模型并調(diào)整您的方法以通過進一步的保護對其進行補充。

這些以云為目標的加密礦工自年初以來一直在上升，只要加密貨幣價值飆升，參與者就會有動力讓他們變得更強大、更難被發(fā)現(xiàn)。