最近,f5实验室的研究人员宣布了新发现的golang加密货币挖掘恶意软件。恶意软件攻击基于linux的服务器来挖掘xmr。研究人员估计,数千台机器已经被僵尸网络感染。

恶意软件利用不同漏洞的示例

发现恶意请求后为go语言编写的新恶意软件

2019年6月14日,f5研究人员在thinkphp(cve-2019-9082和cve unassigned)、Atlassian Conflict(CVE-2019-3396)和drupal(cve-2018-7600)(也称为druppalgeddon2)中检测到针对漏洞的恶意请求。请求中传递的有效负载试图通过发送相同的漏洞进行传播,并试图使用多个硬编码凭据连接到redis数据库,并通过ssh协议进行连接。最终目的是在服务器上安装加密货币挖掘恶意软件,感染其他服务器继续传播。这次攻击中利用的一些漏洞是常见的目标,但发送的恶意软件是用go(golang)语言编写的。值得注意的是,go是一种新的编程语言,并不经常用于创建恶意程序。

[科技资讯] F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加密货币

Go语言已经有近十年的历史,通常是大部分开发者合法使用的语言,所以用golang攻击恶意软件并不常见。2019年1月,分析并发布了早期golang恶意软件样本。

f5实验室研究人员捕获的样本不同于go中编写的zebrocy恶意软件变体和malwarebytes分析的窃取程序。经初步判断,样本似乎来自一种新的恶意软件,目前尚未被杀毒软件供应商收录,因为检测到这种恶意软件的杀毒软件将其归类为一般恶意软件类型。

针对linux服务器,恶意软件以七种方式传播

新的golang恶意软件专门针对linux服务器,并以七种不同的方式传播,包括四种类型的网络应用程序(两种用于thinkphp,一种用于drupal,一种用于合流),ssh凭据枚举,redis数据库密码枚举,以及试图使用发现的ssh密钥连接到其他计算机。目前,安装加密挖掘软件的行为相当普遍,因此其传播技术的规模已经成为一个明显的特征。

f5研究人员在追踪恶意软件的来源时,发现攻击者使用在线剪贴板pastebin网站来托管矛头bash脚本,而恶意软件是在一个被入侵的中国电子商务网站上托管的。在追踪过程中,研究人员发现剪贴板和github上的账号是前几天创建的,克隆了一个基于golang的漏洞扫描项目,说明攻击者还在实验中。根据剪贴板和githhub上的用户名以及克隆项目,研究人员怀疑这次攻击可能是来自中国的黑客造成的。

[科技资讯] F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加密货币


在pastebin上传播恶意软件的用户信息示例

F5的观点:golang恶意软件建议应该注意新的安全风险

虽然这个恶意软件样本不是f5研究人员分析的最复杂的类型,但它足够独特,足以吸引注意力。然而,攻击者试图利用数量超过质量的模式来探索进入系统的方法,但这暴露了它的不成熟。

Golang恶意软件最早出现在2018年年中,2019年继续出现。因为go语言主要是开发者针对合法程序使用的,一般杀毒软件不包含。正因为如此,golang开始被恶意攻击者用来编写恶意软件,逐渐转向黑暗面,导致golang恶意软件开始出现在威胁场景中。

独特的威胁活动和恶意软件只是f5实验室不断检测到的威胁载体的一部分。有关技术细节,请访问f5labs网站博客。此外,作为f5旗下的权威安全研究机构,f5labs (https://www.f5/labs)致力于将应用威胁数据转化为可用的安全防护信息,并通过分析和共享安全威胁场景,为在线社区的安全做出贡献。

标题:[科技资讯] F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加密货币

地址:http://www.heliu2.cn/xw/2571.html