当前位置:99696大富豪棋牌 > 最新资讯 > 企图感染目标,恶意软件通过该脚本在本地网络

企图感染目标,恶意软件通过该脚本在本地网络

文章作者:最新资讯 上传时间:2020-01-05

【PConline 资讯】近日,Check Point的安全研究员发现了一种能针对Linux和Mac设备的新后门木马“SpeakUp”,该恶意软件存储了大量之前的攻击案例,能够优先识别安全漏洞并有效地躲避杀毒软件的查杀。

一种新的 Linux 系统后门已经开始肆虐,并主要运行在位于中国的 Linux 服务器上。

Check Point和Certego发布报告指出,近期新型加密货币挖矿恶意软件“RubyMiner”使用多项漏洞利用,在网上搜寻老旧的Web服务器,企图感染目标。

现在比特币似乎已经不是黑客们的最爱了,由于过去比特币一直被认为是“犯罪货币”,所以执法机构已经开发出追踪技术来调查比特币的交易记录了。而门罗币的不可追踪性,决定了它未来必然会受到黑客的欢迎。

99696大富豪棋牌 1

99696大富豪棋牌 2

攻击者瞄准Linux和Windows服务器

Ixia的安全研究人员斯蒂芬·塔纳斯(Stefan Tanase)向外媒表示,RubyMiner组织使用Web服务器识别工具“p0f”扫描识别运行过时软件的Linux和Windows服务器。一旦识别出未打补丁的服务器,攻击者会利用已知的漏洞利用实施入侵,并利用RubyMiner进一步感染目标。

Check Point和Ixia公司称,它们发现攻击者在近期这起攻击活动中部署以下漏洞利用:

Ruby on Rails XML处理器YAML反序列化代码执行漏洞 (CVE-2013-0156)

PHP php-cgi 查询字符串参数代码执行漏洞 (CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、 CVE-2013-4878)

微软IIS ASP 脚本源代码泄露漏洞(CVE-2005-2678)

显而易见,RubyMiner的目标是Windows和Linux系统。

据coinmarketcap.com的数据显示,门罗币的价格在2017年最后两个月翻了两倍至349美元,而同期比特币大约只翻了一倍左右,所以最近出现了大量的针对门罗币的挖掘事件。

据了解,该恶意软件以其命令和控制域名SpeakUpOmaha[dot]com命名,后者因后端运行C&C代码而受到攻击。目前,SpeakUp后门木马用于针对东亚和拉丁美洲服务器的加密活动,包括在AWS上托管的系统。

据 ZDNet 报导,该恶意软件名为 SpeakUp,三周前由 Check Point 安全研究人员发现。研究人员表示黑客利用 PHP 框架 ThinkPHP 的漏洞 CVE-2018-20062 进行攻击,一旦 SpeakUp 入侵易受攻击的系统,那么黑客就可以使用它来修改本地 cron 应用以获得启动持久性,并运行 shell 命令,执行从远程命令与控制服务器(C&C)下载的文件,以及更新或卸载自身。

攻击者将恶意代码隐藏在robots.txt文件中

Check Point根据其蜜罐收集的数据破解了RubyMiner在Linux系统上的感染程序,从而得出以下结论:

漏洞利用包含一系列Shell命令;

攻击者清除了所有Cron定时任务;

攻击者新增每小时要执行的Cron定时任务;

新的Cron定时任务下载在线托管的脚本;

脚本藏在各个域名的robots.txt文件内;

脚本下载并安装篡改版的XMRig门罗币挖矿应用。

Check Point的安全研究人员勒特姆·芬克尔斯坦向外媒表示,他们发现攻击者以Windows IIS服务器为目标,但尚未能获取这款恶意软件的Windows版副本。

99696大富豪棋牌,这起攻击之所以被发现,部分原因在于攻击者用来将恶意命令隐藏到robots.txt(lochjol[.]com)的其中一个域名曾在2013年的一起恶意软件攻击活动中使用过。后者也使用了RubyMiner部署的Ruby on Rails漏洞利用,这说明这些攻击活动是同一组织所为。

这不最近,F5 Networks的安全研究人员又发现了一个名为PyCryptoMiner的新的Linux 门罗币挖矿僵尸网络,而且是可以通过SSH协议进行传播新的Linux加密僵尸网络。

本文由99696大富豪棋牌发布于最新资讯,转载请注明出处:企图感染目标,恶意软件通过该脚本在本地网络

关键词: