恶意软件新趋势:先卸载安全产品 再挖矿
Palo Alto Networks 公司网络安全研究团队 Unit 42 最近捕获并分析了一款新型恶意软件样本,发现其代码引入了云安全防护及监视产品卸载模块,能从被黑Linux服务器上卸载5款不同云安全产品。
该样本源自Rocke黑客团伙使用的加密货币挖矿机,最初由思科Talos团队于2018年8月披露,因其展现了一系列“令人惊异”的行为而尤为突出。
Unit 42 的研究人员解释道:2018年10月捕获的样本会先利用 Apache Struts 2、Oracle WebLogic 和 Adobe ColdFusion 中的多个漏洞,再卸载掉阿里巴巴和腾讯的云安全产品,最后才开始表现出加密货币挖矿机的典型行为。
举个例子,通过利用Linux服务器上 Oracle WebLogic 漏洞 CVE-2017-10271,攻击者可以操控被黑主机下载后门0720.bin并打开shell。
该恶意软件的反云防护功能可以卸载如下云安全产品:
- 阿里威胁检测服务代理;
- 阿里云监控代理(监视CPU及内存消耗、网络连接);
- 阿里云助手代理(自动化管理实例的工具);
- 腾讯主机安全代理;
- 腾讯云监控代理。
该恶意软件只针对阿里巴巴和腾讯这两大中国供应商,且只有入侵后才能关闭云安全功能(Talos团队略带轻蔑地将其活动描述为“动静很大的扫描+漏洞利用”),但该进化足以引起重视,可能代表着恶意软件的一种趋势。目前该恶意软件的命令与控制服务器已被关停。
研究人员表示:
这种特别的规避行为将成为公共云基础设施恶意软件的新趋势。该恶意软件是按照阿里巴巴和腾讯的云安全工具卸载指南来编程的。
Talos研究人员对Rocke小组的定位是:“积极投身到加密货币恶意软件投送与执行活动中的黑客团伙”,称其“利用Git代码仓库、HttpFieServers(HFS)网络文件服务器等一系列公开可用的工具包”,“加载各种各样的攻击载荷,包括shell脚本、JavaScript后门和ELF及PE挖矿机。”