Rocke coinminer禁用云保護代理

admin

CryptoJacker的新shell腳本A7可以從阿里巴巴和騰訊中刪除云安全代理，以避免CoinMiner檢測。

一組專門用加密貨幣挖掘軟件感染服務器的黑客已經開始禁用云環(huán)境中使用的安全軟件代理來逃避檢測。該集團在安全行業(yè)被稱為Rock，自2018年4月以來一直活躍，并以利用Web應用程序框架和服務器（如Apache Struts、Oracle Weblogic和Adobe ColdFusion）中的關鍵漏洞而聞名。
一旦進入服務器，攻擊者就會執(zhí)行shell腳本，下載并安裝Monero Cryptocurrency Mining惡意軟件（針對Linux或Windows），具體取決于服務器的操作系統(tǒng)。Palo Alto Networks的研究人員分析了Roke的Linux shell腳本的最新樣本，這些腳本被認為與另一個叫Iron的網絡犯罪組織開發(fā)的Xbash惡意軟件有關。不同群體之間的工具重疊并不罕見，特別是因為許多攻擊工具都是公開提供的，或者在地下市場上進行商業(yè)銷售。
然而，分析后的roke示例有一個新特性，在硬幣挖掘攻擊中沒有觀察到：在部署coinminer之前，惡意腳本搜索五種不同的云安全保護和監(jiān)控產品，并將它們從服務器上卸載。
Palo Alto Networks的研究人員在一份報告中說：“這些產品是由騰訊云（Tencent Cloud）和阿里巴巴云（Aliyun）開發(fā)的，這兩家中國領先的云提供商正在全球擴張業(yè)務。”據(jù)我們所知，這是第一個惡意軟件系列，開發(fā)了獨特的能力，以目標和刪除云安全產品。這也突顯了Gartner定義的云工作負載保護平臺市場中產品面臨的新挑戰(zhàn)。”
關閉Coinminer競爭對手并殺死安全工具
Roke的惡意shell腳本（稱為A7）執(zhí)行了幾個任務，為硬幣開采操作奠定了基礎。首先，它設置Linuxcron作業(yè)以在重新啟動時實現(xiàn)持久性。然后，它搜索并殺死其他加密貨幣挖掘過程，并添加iptables（防火墻）規(guī)則以阻止競爭的鑄幣商運行。最后，它卸載了基于代理的云安全產品，然后才下載自己的CoinMining程序，執(zhí)行它，隱藏它的過程并修改它的文件日期，這樣事件響應者就不容易找到它。
惡意軟件針對的五種安全解決方案是：
阿里巴巴威脅檢測服務代理
阿里云監(jiān)控代理，監(jiān)控CPU、內存使用和網絡連接
阿里云助理代理，用于云實例的自動管理
騰訊主機安全代理
騰訊云監(jiān)控代理
似乎隨著時間的推移，Roke針對云環(huán)境的檢測規(guī)避技術也在不斷發(fā)展，因為早期的示例只試圖殺死騰訊云監(jiān)控進程。當這被證明是無效的時候，集團接受了騰訊和阿里巴巴網站上的代理卸載指令并實施了它們。

該集團有依賴開源信息和資源的習慣，這種技術在安全行業(yè)被稱為“遠離土地生活”。在過去的攻擊中，它將惡意文件托管在Github、Gitlab和基于中國的Gitee上的源代碼存儲庫中，并使用了開源工具，如IP掃描儀、代理和暴力工具包。該組織還將包含各種漏洞的公共存儲庫分叉，包括影子經紀人泄露的NSA漏洞。
這種針對云安全代理的新檢測規(guī)避技術可能會被其他網絡犯罪集團采用，并且可能會擴展到涵蓋其他供應商的服務器安全軟件。
勒索軟件、濫用服務器和計算機進行未經授權的加密貨幣挖掘是網絡犯罪分子最賺錢、最容易實施的攻擊之一，因此這些攻擊可能會繼續(xù)下去。事實上，安全行業(yè)已經觀察到一些群體從勒索軟件轉向投幣采礦，或者在相同的攻擊中將兩者結合起來。
Palo Alto的研究人員說：“Roke Group使用的惡意軟件變體就是一個例子，證明基于代理的云安全解決方案可能不足以阻止針對公共云基礎設施的規(guī)避惡意軟件。”