<rt id="080ge"></rt>

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: Rocke coinminer禁用云保護(hù)代理 [打印本頁]

作者: admin 時(shí)間: 2019-1-19 12:03
標(biāo)題: Rocke coinminer禁用云保護(hù)代理
CryptoJacker的新shell腳本A7可以從阿里巴巴和騰訊中刪除云安全代理，以避免CoinMiner檢測(cè)。
(, 下載次數(shù): 620)
一組專門用加密貨幣挖掘軟件感染服務(wù)器的黑客已經(jīng)開始禁用云環(huán)境中使用的安全軟件代理來逃避檢測(cè)。該集團(tuán)在安全行業(yè)被稱為Rock，自2018年4月以來一直活躍，并以利用Web應(yīng)用程序框架和服務(wù)器（如Apache Struts、Oracle Weblogic和Adobe ColdFusion）中的關(guān)鍵漏洞而聞名。
一旦進(jìn)入服務(wù)器，攻擊者就會(huì)執(zhí)行shell腳本，下載并安裝Monero Cryptocurrency Mining惡意軟件（針對(duì)Linux或Windows），具體取決于服務(wù)器的操作系統(tǒng)。Palo Alto Networks的研究人員分析了Roke的Linux shell腳本的最新樣本，這些腳本被認(rèn)為與另一個(gè)叫Iron的網(wǎng)絡(luò)犯罪組織開發(fā)的Xbash惡意軟件有關(guān)。不同群體之間的工具重疊并不罕見，特別是因?yàn)樵S多攻擊工具都是公開提供的，或者在地下市場(chǎng)上進(jìn)行商業(yè)銷售。
然而，分析后的roke示例有一個(gè)新特性，在硬幣挖掘攻擊中沒有觀察到：在部署coinminer之前，惡意腳本搜索五種不同的云安全保護(hù)和監(jiān)控產(chǎn)品，并將它們從服務(wù)器上卸載。
Palo Alto Networks的研究人員在一份報(bào)告中說：“這些產(chǎn)品是由騰訊云（Tencent Cloud）和阿里巴巴云（Aliyun）開發(fā)的，這兩家中國(guó)領(lǐng)先的云提供商正在全球擴(kuò)張業(yè)務(wù)。”據(jù)我們所知，這是第一個(gè)惡意軟件系列，開發(fā)了獨(dú)特的能力，以目標(biāo)和刪除云安全產(chǎn)品。這也突顯了Gartner定義的云工作負(fù)載保護(hù)平臺(tái)市場(chǎng)中產(chǎn)品面臨的新挑戰(zhàn)。”
關(guān)閉Coinminer競(jìng)爭(zhēng)對(duì)手并殺死安全工具
Roke的惡意shell腳本（稱為A7）執(zhí)行了幾個(gè)任務(wù)，為硬幣開采操作奠定了基礎(chǔ)。首先，它設(shè)置Linuxcron作業(yè)以在重新啟動(dòng)時(shí)實(shí)現(xiàn)持久性。然后，它搜索并殺死其他加密貨幣挖掘過程，并添加iptables（防火墻）規(guī)則以阻止競(jìng)爭(zhēng)的鑄幣商運(yùn)行。最后，它卸載了基于代理的云安全產(chǎn)品，然后才下載自己的CoinMining程序，執(zhí)行它，隱藏它的過程并修改它的文件日期，這樣事件響應(yīng)者就不容易找到它。
惡意軟件針對(duì)的五種安全解決方案是：
阿里巴巴威脅檢測(cè)服務(wù)代理
阿里云監(jiān)控代理，監(jiān)控CPU、內(nèi)存使用和網(wǎng)絡(luò)連接
阿里云助理代理，用于云實(shí)例的自動(dòng)管理
騰訊主機(jī)安全代理
騰訊云監(jiān)控代理
似乎隨著時(shí)間的推移，Roke針對(duì)云環(huán)境的檢測(cè)規(guī)避技術(shù)也在不斷發(fā)展，因?yàn)樵缙诘氖纠辉噲D殺死騰訊云監(jiān)控進(jìn)程。當(dāng)這被證明是無效的時(shí)候，集團(tuán)接受了騰訊和阿里巴巴網(wǎng)站上的代理卸載指令并實(shí)施了它們。

該集團(tuán)有依賴開源信息和資源的習(xí)慣，這種技術(shù)在安全行業(yè)被稱為“遠(yuǎn)離土地生活”。在過去的攻擊中，它將惡意文件托管在Github、Gitlab和基于中國(guó)的Gitee上的源代碼存儲(chǔ)庫(kù)中，并使用了開源工具，如IP掃描儀、代理和暴力工具包。該組織還將包含各種漏洞的公共存儲(chǔ)庫(kù)分叉，包括影子經(jīng)紀(jì)人泄露的NSA漏洞。
這種針對(duì)云安全代理的新檢測(cè)規(guī)避技術(shù)可能會(huì)被其他網(wǎng)絡(luò)犯罪集團(tuán)采用，并且可能會(huì)擴(kuò)展到涵蓋其他供應(yīng)商的服務(wù)器安全軟件。
勒索軟件、濫用服務(wù)器和計(jì)算機(jī)進(jìn)行未經(jīng)授權(quán)的加密貨幣挖掘是網(wǎng)絡(luò)犯罪分子最賺錢、最容易實(shí)施的攻擊之一，因此這些攻擊可能會(huì)繼續(xù)下去。事實(shí)上，安全行業(yè)已經(jīng)觀察到一些群體從勒索軟件轉(zhuǎn)向投幣采礦，或者在相同的攻擊中將兩者結(jié)合起來。
Palo Alto的研究人員說：“Roke Group使用的惡意軟件變體就是一個(gè)例子，證明基于代理的云安全解決方案可能不足以阻止針對(duì)公共云基礎(chǔ)設(shè)施的規(guī)避惡意軟件。”

歡迎光臨灰鴿子遠(yuǎn)程控制軟件 (http://www.dumiaotech.com/)

<rt id="oo0ss"></rt>