2020年針對Docker容器的Linux加密貨幣挖礦木馬最近迎來了新版本，將目標(biāo)對準(zhǔn)華為云等新興云服務(wù)提供商。根據(jù)趨勢科技研究人員對最新惡意活動的分析結(jié)論，這款惡意軟件在保留原有功能的同時，還進一步發(fā)展了新的攻擊能力。

具體來說，新版本的木馬已經(jīng)注釋掉（但仍然存在）防火墻規(guī)則創(chuàng)建功能，并會刪除網(wǎng)絡(luò)掃描程序，以將其他主機映射至API相關(guān)的端口。

該新版本只針對云環(huán)境，并且會尋找并刪除之前感染系統(tǒng)中可能存在的所有其他加密貨幣挖礦腳本。一旦感染了Linux系統(tǒng)，這款挖礦木馬會按步驟執(zhí)行以下操作，包括刪除其他加密貨幣挖礦木馬分發(fā)者創(chuàng)建的用戶。

在刪除其他攻擊者創(chuàng)建的用戶之后，該木馬會添加自己的用戶，并將其添加到sudoers列表中，即賦予其root訪問權(quán)限。為了確保長期存在于目標(biāo)設(shè)備上，攻擊者還使用自有ssh-RSA密鑰修改系統(tǒng)，并將文件權(quán)限變更為鎖定狀態(tài)。這樣，即使其他攻擊者未來也能夠訪問設(shè)備，他們?nèi)詿o法完全控制受感染的機器。

此木馬還會安裝Tor代理服務(wù)，以保護通信內(nèi)容免受網(wǎng)絡(luò)掃描檢測與審查，并通過傳遞所有連接來實現(xiàn)匿名化訪問。

另外，投放的各個二進制文件經(jīng)過一定程度的混淆，趨勢科技還發(fā)現(xiàn)了使用UPX加殼程序的跡象。攻擊者進一步篡改并調(diào)整二進制文件，致力于回避自動分析及檢測工具的追蹤。

在設(shè)備上站穩(wěn)腳跟后，攻擊者會利用惡意腳本與加密貨幣挖礦木馬完成后續(xù)感染。此次攻擊中發(fā)現(xiàn)的已知漏洞包括SSH弱密碼、OracleFusionMiddleware的OracleWebLogicServer產(chǎn)品漏洞(CVE-2020-14882)、Redis未授權(quán)訪問或弱密碼、PostgreSQL未授權(quán)訪問或弱密碼、SQLServer弱密碼以及MongoDB未授權(quán)訪問或弱密碼等。

華為云推出較晚，但聲稱已為超過300萬客戶提供服務(wù)。趨勢科技已向華為通報了此次攻擊，但還未收到確認(rèn)回復(fù)。無論是否部署了實例，請注意，僅依靠漏洞評估和惡意軟件掃描可能不足以抵御此次攻擊。您需要評估云服務(wù)提供商的安全模型并調(diào)整使用方式，通過進一步的保護措施建立必要的安全補充措施。

自今年年初以來，針對云環(huán)境的挖礦木馬一直在增加。只要加密貨幣價格持續(xù)上漲，攻擊者在開發(fā)更強大、更難被發(fā)現(xiàn)的挖礦木馬方面始終有動力。

參考來源：BleepingComputer.com

熱點：挖礦