每日最新頭條.有趣資訊

騰訊安全:挖礦木馬猛攻企業Linux系統 廣東成重災區

近期,騰訊安全禦見威脅情報中心檢測到WannaMine挖礦家族再度活躍,病毒作者增加Linux伺服器為新的攻擊目標,並為釋放的DDoS木馬起了一個頗有惡作劇色彩的名字“比爾蓋茨”(BillGates)。經分析,該病毒偽裝成Linux系統工具躲避殺毒軟體查殺,橫向傳播局域網內其他電腦,並在內核中生成攻擊數據包,避免被嗅探工具捕獲。目前,騰訊電腦管家及騰訊禦點終端安全管理系統已全面攔截並查殺該病毒。

此前,騰訊安全禦見威脅情報中心曾接到客戶求助,稱部署的騰訊禦界高級威脅檢測系統提示,其公司網絡正在遭受SSH伺服器弱口令爆破攻擊,危急之下,該公司安全人員第一時間聯絡騰訊安全技術專家請求協助分析威脅事件。

騰訊安全技術專家在征得客戶同意後,提取禦界的相關日誌,對其進行分析從中提取出關鍵IOC信息,發現該公司遭受的CVE-2016-5195內核提權漏洞是由於感染WannaMine挖礦木馬導致。由於發現及時,騰訊安全技術專家協助客戶進行隔離、殺毒、修複安全漏洞,目前該公司並未遭受損失,同時網絡入侵風險也隨即解除。

事實上,早在2017年9月,騰訊安全禦見威脅情報中心就已監測發現WannaMine挖礦家族活躍異常,其不僅使用弱口令爆破進行挖礦,而且還利用“永恆之藍”等多個伺服器組件漏洞發起攻擊,給網絡安全造成了極大的威脅。自今年6月開始,WannaMine在國內呈現新的快速增長趨勢,數據顯示,病毒感染率最高的城市為廣東省,約有20.3%的受害者,目前已影響近14萬台設備的安全。

攻擊者普遍利用伺服器存在的SSH、TELNET、MySQL等疏漏,使用工具批量掃描並植入Shell腳本,進而針對特定目標發動DDoS攻擊。同時,木馬還會在被感染電腦中留下後門,為後續的惡意攻擊做足準備。

尤其需要注意的是,WannaMine挖礦木馬兼具對抗殺軟、清除挖礦競品、持久化攻擊等特點。首先通過SSH弱口令爆破成功後釋放出DDoS木馬,不斷在內網擴散傳播,攻擊受害機器登錄過的所有遠程伺服器;然後自動關閉、刪除中招機器上安裝的安全防護軟體,將病毒守護腳本代碼添加至Linux啟動項、定時任務,以達到持久化;最後清除挖礦競爭對手,開啟挖礦,並嘗試利用Linux內核提權漏洞獲取系統Root權限。

從上圖中不難看出,早期WannaMine所使用的載荷託管IP地址經常改變,表明病毒可能使用某一台僵屍機用於託管載荷,每次進行更新後就更換一台。但在今年6月病毒更新迭代後,使用的載荷託管地址和載荷文件都與另一個黑客組織密切相關,且加入的代碼位置、代碼內容與之前的風格不符,呈現系統化、定製化特點。通過這兩個重要特徵,騰訊安全技術專家推斷,WannaMine已經淪為“軍火庫”,開始為其他黑客組織提供定製化武器。

為進一步免受WannaMine挖礦木馬的危害,騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業網絡管理員,建議伺服器關閉不必要的端口和共享文件,使用高強度密碼,以防不法黑客破解;下載並更新Windows系統補丁,及時修複永恆之藍系列漏洞;定期對伺服器進行加固,及時修複伺服器相關組件的安全漏洞;同時還建議企業用戶選擇使用騰訊禦界高級威脅檢測系統,及時發現黑客入侵滲透跡象,切實保護好企業自身的網絡安全。

獲得更多的PTT最新消息
按讚加入粉絲團