恶意软件新趋势:先卸载安全产品 再挖矿

恶意软件新趋势:先卸载安全产品 再挖矿

黑客安全访客2021-10-11 15:20:005152A+A-

Palo Alto Networks 公司网络安全研究团队 Unit 42 最近捕获并分析了一款新型恶意软件样本,发现其代码引入了云安全防护及监视产品卸载模块,能从被黑Linux服务器上卸载5款不同云安全产品。

该样本源自Rocke黑客团伙使用的加密货币挖矿机,最初由思科Talos团队于2018年8月披露,因其展现了一系列“令人惊异”的行为而尤为突出。

Unit 42 的研究人员解释道:2018年10月捕获的样本会先利用 Apache Struts 2、Oracle WebLogic 和 Adobe ColdFusion 中的多个漏洞,再卸载掉阿里巴巴和腾讯的云安全产品,最后才开始表现出加密货币挖矿机的典型行为。

举个例子,通过利用Linux服务器上 Oracle WebLogic 漏洞 CVE-2017-10271,攻击者可以操控被黑主机下载后门0720.bin并打开shell。

该恶意软件的反云防护功能可以卸载如下云安全产品:

  • 阿里威胁检测服务代理;
  • 阿里云监控代理(监视CPU及内存消耗、网络连接);
  • 阿里云助手代理(自动化管理实例的工具);
  • 腾讯主机安全代理;
  • 腾讯云监控代理。

该恶意软件只针对阿里巴巴和腾讯这两大中国供应商,且只有入侵后才能关闭云安全功能(Talos团队略带轻蔑地将其活动描述为“动静很大的扫描+漏洞利用”),但该进化足以引起重视,可能代表着恶意软件的一种趋势。目前该恶意软件的命令与控制服务器已被关停。

研究人员表示:

这种特别的规避行为将成为公共云基础设施恶意软件的新趋势。该恶意软件是按照阿里巴巴和腾讯的云安全工具卸载指南来编程的。

Talos研究人员对Rocke小组的定位是:“积极投身到加密货币恶意软件投送与执行活动中的黑客团伙”,称其“利用Git代码仓库、HttpFieServers(HFS)网络文件服务器等一系列公开可用的工具包”,“加载各种各样的攻击载荷,包括shell脚本、JavaScript后门和ELF及PE挖矿机。”

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 只酷浪胚2022-05-28 19:36:57
  • 软件的新趋势。该恶意软件是按照阿里巴巴和腾讯的云安全工具卸载指南来编程的。Talos研究人员对Rocke小组的定位是:“积极投身到加密货币恶意软件投送与执行活动中的黑客团伙”,称其“利用Git代码仓库、HttpFieServers(HFS)网络文件服务器等
  • 语酌吝吻2022-05-28 23:39:46
  • 投身到加密货币恶意软件投送与执行活动中的黑客团伙”,称其“利用Git代码仓库、HttpFieServers(HFS)网络文件服务器等一系列公开可用的工具包”,“加载各种各样的攻击载荷,包括shell脚本、JavaScript后门和EL

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理