您的位置:首页 >聚焦 > 创投 >

新Golang恶意软件在寻求加密货币方面扮演着Linux领域

2019-07-05 09:53:40来源:

网络安全公司在野外发现了一种新形式的恶意软件,该公司称该代码的主要焦点是对Monero(XMR)加密货币的欺诈性挖掘。在过去的一周里,各种网络安全机构发布了关于新恶意软件的报告,称为Golang,它已经证明自己能够通过各种传播方法来破坏Linux服务器。Palo Alto Networks Unit 42网络安全研究员Josh Grunzweig发布的分析表明,这种语言开发的恶意软件数量持续上升数月,但大多数都针对的是Microsoft Windows操作系统。

Grunzweig能够收集超过10,000个Go编译恶意软件的独特样本,并发现最突出的恶意软件系列是Veil,GoBot2和Hercules。Pentesting,远程访问特洛伊木马(RAT)和后门 - 最后两个之间的差异是不同级别的功能 - 是最常见的开发。

然而,在分析这种新的基于Go的恶意软件时,趋势科技研究人员Augusto Remillano II和Mark Vicente表示,吊具正被用于丢弃加密货币矿工的有效载荷。

该团队于5月首次发现了Golang,目前正在进行一项正在进行的活动。Golang专门针对基于Linux的服务器,不仅可以探测目标系统中的漏洞,还可以查找在网络上传播的入口点。

F5研究人员表示,Golang总共传播了七种方法;针对ThinkPHP,Drupal和Confluence的四个漏洞;使用SSH和Redis数据库配置错误或凭据,以及随后使用恶意软件遇到的任何SSH密钥传播到其他计算机。

首先将GET请求发送到ident.me,该服务用于返回服务器的公共IP地址。然后使用IP列表搜索开放端口80,20,8090和6397.如果找到任何IP地址,则发送恶意请求以下载在Pastebin上托管的有效负载。

在Confluence的情况下,恶意软件利用CVE-2019-3396,这是以前用于传播其他加密货币挖掘恶意软件的漏洞。

Redis攻击向量也很有趣。如果没有找到开放端口,恶意软件将自动尝试使用常见的简单密码(例如admin,root,redis和test)连接到易受攻击的服务器。

然后,Golang使用FLUSHALL Redis命令擦除现有数据库并创建计划任务以在其位置下载有效负载。

工程师因向中国走私美国军队筹码而面临219年监禁

吊具还将禁用安全工具和软件,清除历史记录和日志,并寻找已经运行的任何加密货币挖掘操作以终止进程 - 为自己的活动保留任何可用的CPU功率。任何使用超过30%可用内存资源的进程都将被终止。

为了保持持久性,Golang将自己设置为名为mysqlc的系统中的cron作业和服务。检查下载脚本,如有必要,每15分钟重新执行一次。

该恶意软件还将阻止端口3333,5555,7777和9999上的传出流量,F5表示可能是由于这些端口被其他加密货币矿工使用。