以色列網絡安全公司在最近發表的一篇文章中指出,該公司已經發現了挖礦木馬的一個新版本,并推測自今年6月以來已經有超過4500臺Linux主機遭到了感染。
分析表明,新版本的不僅能夠利用多個新披露的漏洞,而且還包含了一個漏洞掃描模塊,這表明攻擊者正在收集易受攻擊的主機列表,以用于后續攻擊或出售給第三方牟利。
值得注意的是,幾乎所有上的殺毒軟件都沒有能夠將的這個新版本檢測出來。
簡介
首次被發現是在去年11月,它在當時通過利用已知的漏洞感染了大量的Linux主機,并以此建立了一個加密貨幣挖礦僵尸網絡。
如上所述,發現了的這個新版本不僅能夠利用多個新披露的漏洞(如CVE-2019-11581、CVE-2019-10149和CVE-2019-0192),同時還配備了一個漏洞掃描模塊。
,也稱為CVE-2019-0708,是一個內核漏洞,允許攻擊者在易受攻擊的系統上實現遠程代碼執行。從 2000到 2008以及 7,所有未打補丁的版本均存在這個漏洞。
技術分析
與舊版本類似,新版本的在感染目標主機后也會運行一個初始腳本。接下來,該腳本就會通過創建一個計劃任務來實現持久性,然后從下載其他模塊。
不同之處在于,攻擊者對初始腳本的末尾部分進行了修改。
對于舊版本而言,從下載的是一個門羅幣挖礦模塊。
但對于新版本而言,從下載的不是一個挖礦模塊,而是一個模塊。
乍一看,初始腳本下載的模塊是一個ELF可執行文件,但它實際上是一個采用編譯的可執行文件。
進行反編譯,你還會發現它實際上是一個模塊。
初始化
一旦運行,這個可執行文件就會在/tmp/.下創建一個文件并將自己的PID進程標識符寫進去。如果這個文件原本就已經存在,后續嘗試啟動將失敗。
然后,這個可執行文件就會從檢索其C2服務器:
不僅如此,在這個可執行文件中也硬編碼了.onion洋蔥網絡C2服務器地址網站漏洞掃描工作內容,以作備用。
正是根據對鏈接訪問次數的統計,公司估計截止到目前至少已經有4500臺Linux主機遭到了感染。
與C2服務器建立通信后,這個可執行文件就會為受感染主機生成一個唯一密鑰,并在此密鑰下向C2服務器發送初始消息(包含了受感染主機的系統信息),進而下載最終的挖礦模塊。
掃描模塊
如上所述,新版本的包含了一個漏洞掃描模塊,能夠找出存在漏洞的主機。
通過使用從C2服務器獲取的IP地址列表,漏洞掃描模塊能夠從中找出開啟了RDP服務的服務器。
需要指出的是,RDP的默認服務端口是TCP 3389,可以使用“: =”在數據包中輕松識別。
掃描結束之后,客戶端會返回一個易受攻擊的IP地址列表。該列表經過RC4加密,以十六進制字符串編碼:
能夠利用多個新漏洞
如上所述,新版本的能夠利用多個新披露的漏洞,具體如下:
無論是成功利用這些漏洞中的哪一個,攻擊者都能夠實現遠程代碼執行。
結論與安全建議
公司的研究表明,挖礦木馬仍在持續進化。Linux主機仍然是主要被攻擊對象,而新增加的漏洞掃描模塊也證明,攻擊者似乎對主機同樣感興趣。
因此,用戶似乎有必要考慮一下,為漏洞打上補丁。此外,正在Exim、Jira、Solr、或Nexus 3的Linux用戶似乎也有必要更新到最新版本。
最后網站漏洞掃描工作內容,有懷疑自己的主機已經感染了的Linux用戶,可以檢查一下 “/tmp/.”或“/tmp/.”文件是否存在。
