當前位置:聯升科技 > 技術資訊 > 應用安全 >

可自我傳播的新蠕蟲會把Windows、Linux服務器變成門羅幣礦機

2021-01-04    作者:cnBeta    來源:今日頭條    閱讀:
自12月初以來,一種新發(fā)現的、基于Golang的自我傳播的惡意軟件一直在Windows和Linux服務器上主動運行XMRig加密貨幣礦機程序。Intezer安全研究員Avigayil Mechtinger透露,這個多平臺的惡意軟件還具有蠕蟲功能,可以通過用弱密碼強行使用面向公眾的服務(即MySQL、Tomcat、Jenkins和WebLogic)傳播到其他系統。

自首次發(fā)現該蠕蟲以來,背后的攻擊者一直通過其命令和控制(C2)服務器積極更新該蠕蟲的功能,這暗示著該蠕蟲依然是一個積極維護的惡意軟件。
C2服務器用于托管bash或PowerShell滴管腳本(取決于目標平臺),一個基于Golang的二進制蠕蟲,以及部署的XMRig礦工,以在受感染的設備上偷偷挖掘不可追蹤的Monero加密貨幣(門羅幣)。
該蠕蟲通過使用密碼噴灑式攻擊和硬編碼憑證列表掃描和強行通過MySQL、Tomcat和Jenkins服務傳播到其他計算機。該蠕蟲的舊版本還試圖利用CVE-2020-14882 Oracle WebLogic遠程代碼執(zhí)行漏洞。一旦它成功入侵其中一臺目標服務器,就會部署加載器腳本(Linux的ld.sh和Windows的ld.ps1),該腳本的載荷會同時投放XMRig礦工程序和基于Golang的蠕蟲二進制代碼。
如果惡意軟件檢測到受感染的系統正在監(jiān)聽52013端口,它將自動殺死自己。如果該端口未被使用,蠕蟲將打開自己的網絡套接字。
要防御這種新的多平臺蠕蟲發(fā)動的蠻力攻擊,網絡管理員應該限制登錄條件,并在所有暴露在互聯網上的服務上使用難以猜測的密碼,以及盡可能使用雙因素認證。


相關文章

我們很樂意傾聽您的聲音!
即刻與我們取得聯絡
成為日后肩并肩合作的伙伴。

行業(yè)資訊

聯系我們

13387904606

地址:新余市仙女湖區(qū)仙女湖大道萬商紅A2棟

手機:13755589003
QQ:122322500
微信號:13755589003

江西新余網站設計_小程序制作_OA系統開發(fā)_企業(yè)ERP管理系統_app開發(fā)-新余聯升網絡科技有限公司 贛ICP備19013599號-1   贛公網安備 36050202000267號   

微信二維碼