华盟君引言“F5 Networks的专家发现了一个加密活动,该活动正在提供针对基于Linux的服务器的新Golang恶意软件”
F5专家发现了一个密码学家活动,该活动正在针对基于Linux的服务器提供新的Golang恶意软件。
该活动于6月10日左右开始,已经感染了数千台机器。恶意代码托管在已经被入侵的中文在线商店上,威胁玩家使用服务Pastebin来托管矛头bash脚本。
“F5研究人员发现了一个加密器活动,提供针对基于Linux的服务器的新Golang恶意软件。” F5发布的分析报告。
“恶意软件广告系列使用7种不同的方法进行宣传:4个Web应用程序漏洞(2个针对ThinkPHP,1个针对Drupal,1个针对Confluence),SSH凭据枚举,Redis数据库密码枚举,还尝试使用找到的SSH密钥连接其他计算机。 ”
攻击者利用众所周知的漏洞来破坏目标系统,包括 ThinkPHP(CVE-2019-9082和CVE-unassigned),Atlassian Confluence(CVE-2019-3396)以及流行的Drupalgeddon漏洞(CVE-2018-7600)中的安全问题。
攻击者还使用SSH凭据枚举,Redis数据库密码枚举,并尝试使用找到的SSH密钥连接其他计算机。
该恶意软件是用Google开发的Go编程语言编写的,今年早些时候Cybaze-Yoroi ZLab专家分析了另一个名为GoBrut的 GoLang僵尸网络。
在针对Redis数据库的攻击中,恶意代码首先尝试连接到没有凭据的默认端口,然后尝试使用七个常用密码(admin,redis,root,123456,密码,用户 和 测试)进行访问。
尝试访问SSH端口时,恶意软件会尝试枚举四个用户名(root,admin,user和test),并尝试使用七个密码(管理员,root,test (显示两次), user,123456和 password)。
“最终的传播方法不是由Go二进制文件本身完成的,而是另一个shell脚本,将在下一节中讨论。该脚本在SSH目录中查找现有的已知主机,然后尝试通过SSH连接到这些计算机并感染它们。“继续报道。
当恶意软件危及系统时,它会从pastebin.com下载bash脚本并获取多个存档,其中一个包含Go恶意软件。下载的文件将保存到隐藏的 /tmp/.mysqli 目录中,以防止删除和误导用户。
从二进制文件中提取的一个脚本尝试禁用受感染系统上的多个安全控件,包括SELinux。
威胁通过设置每15分钟下载bash脚本的新crontab实现持久性。该脚本将Go恶意软件设置为服务,并搜索从/ tmp 目录运行的竞争对手的进程 并将其杀死。
恶意软件下载的档案包括主要的Go恶意软件和Monero矿工。
“恶意软件正在使用XMR挖掘XMR cryptonight 算法并向几个公共池提交哈希值。在撰写本文时,此操作使攻击者获得的收入低于2,000美元。但是,此信息仅基于我们的特定矿工使用的钱包。可能是攻击者有几个钱包被他的不同部分使用僵尸网络。”写 专家。
恶意文件从Pastebin下载了12,000多次,这个数据可以让我们了解僵尸网络的维度。
“很明显,Go虽然仍然主要由合法的开发者使用,但也是”走向“黑暗的一面。Golang恶意软件开始出现在威胁领域。虽然这个样本并不是F5研究人员分析的最复杂的恶意软件,但它有几个独特的特性使其值得注意。“专家总结道。
