据腾讯安全威胁情报中心消息,腾讯主机安全捕获到挖矿木马4SHMiner利用ApacheShiro反序列化漏洞CVE-2016-4437针对云服务器的攻击行动。4SHMiner挖矿团伙入侵成功后会执行命令下载4.sh,然后下载XMRig挖矿木马并通过Linuxservice、systemctl服务,系统配置文件$HOME/.profile,crontab定时任务等实现持久化运行。通过其使用的门罗币钱包算力(约333KH/s)进行推算,4SHMiner挖矿木马团伙已控制约1.5万台服务器进行挖矿,根据算力突变数据可知其在2020.11.16至17日一天之内就新增感染近1万台机器。安全专家建议企业及时检查服务器是否部署了低于1.2.5版本的ApacheShiro,并将其升级到1.2.5及以上版本。
攻击者利用Hadoop Yarn REST API未授权漏洞攻击云主机,安装挖矿木马等:腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机,攻击成功后执行恶意命令,向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马,入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。
攻击者入侵成功后,会清理系统进程和文件,以清除其他资源占用较高的进程(可能是可疑挖矿木马,也可能是正常服务),以便最大化利用系统资源。入侵者同时会配置免密登录后门,以方便进行远程控制,入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。
通过对木马家族进行关联分析,发现本次攻击活动与永恒之蓝下载器木马关联度极高,攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致,但尚不能肯定攻击活动由这两个团伙发起。
本次攻击具有蠕虫式的扩散传播能力,可下载安装后门、执行任意命令,发起DDoS攻击,对受害单位网络信息系统安全构成严重影响。建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞,避免采用弱口令,采用腾讯安全的技术方案检测系统,清除威胁。[2021/1/28 14:14:13]
声音 | 腾讯安全:2019年最活跃的挖矿木马为WannaMiner、MyKings、DTLMiner:腾讯安全今日发布“2019年度挖矿木马报告”。报告指出,2019年挖矿木马最活跃的三个家族分别为WannaMiner、MyKings、DTLMiner(永恒之蓝下载器木马)。其中MyKings是老牌的僵尸网络家族,而WannaMiner和DTLMiner分别在2018年初和年底出现。在2019年这几个家族都有超过2万用户的感染量,他们的共同特点为利用“永恒之蓝”漏洞进行蠕虫式传播,使用多种类的持久化攻击技术,难以被彻底清除。2019年挖矿木马主要入侵方式前三名分别是漏洞攻击、弱口令爆破和借助僵尸网络。由于挖矿木马需要获取更多的计算资源,所以利用普遍存在的漏洞和弱口令,或者是控制大量机器的僵尸网络进行大规模传播成为挖矿木马的首选。[2020/2/17]
挖矿木马猖獗:据360互联网安全中心近日发布得《2017年中国手机安全状况报告》,各类木马程序是PC端和安卓端的重要信息安全隐患。受近期比特币等数字货币价格快速飙升影响,曾在2014年短暂爆发过的安卓平台挖矿木马再度死灰复燃,在用户不知情的情况下,利用其手机的计算能力为攻击者获取数字货币。通过将木马程序植入网页、软件来窃取用户算力,此外,行业内部有些服务提供商本身也是挖矿木马泛滥现象的“帮凶”。[2018/5/2]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。