新Golang恶意软件在寻求加密货币方面扮演着Linux领域

网络安全公司在野外发现了一种新形式的恶意软件，该公司称该代码的主要焦点是对Monero(XMR)加密货币的欺诈性挖掘。在过去的一周里，各种网络安全机构发布了关于新恶意软件的报告，称为Golang，它已经证明自己能够通过各种传播方法来破坏Linux服务器。Palo Alto Networks Unit 42网络安全研究员Josh Grunzweig发布的分析表明，这种语言开发的恶意软件数量持续上升数月，但大多数都针对的是Microsoft Windows操作系统。

Grunzweig能够收集超过10,000个Go编译恶意软件的独特样本，并发现最突出的恶意软件系列是Veil，GoBot2和Hercules。Pentesting，远程访问特洛伊木马(RAT)和后门 - 最后两个之间的差异是不同级别的功能 - 是最常见的开发。

然而，在分析这种新的基于Go的恶意软件时，趋势科技研究人员Augusto Remillano II和Mark Vicente表示，吊具正被用于丢弃加密货币矿工的有效载荷。

该团队于5月首次发现了Golang，目前正在进行一项正在进行的活动。Golang专门针对基于Linux的服务器，不仅可以探测目标系统中的漏洞，还可以查找在网络上传播的入口点。

F5研究人员表示，Golang总共传播了七种方法;针对ThinkPHP，Drupal和Confluence的四个漏洞;使用SSH和Redis数据库配置错误或凭据，以及随后使用恶意软件遇到的任何SSH密钥传播到其他计算机。

首先将GET请求发送到ident.me，该服务用于返回服务器的公共IP地址。然后使用IP列表搜索开放端口80,20,8090和6397.如果找到任何IP地址，则发送恶意请求以下载在Pastebin上托管的有效负载。

在Confluence的情况下，恶意软件利用CVE-2019-3396，这是以前用于传播其他加密货币挖掘恶意软件的漏洞。

Redis攻击向量也很有趣。如果没有找到开放端口，恶意软件将自动尝试使用常见的简单密码(例如admin，root，redis和test)连接到易受攻击的服务器。

然后，Golang使用FLUSHALL Redis命令擦除现有数据库并创建计划任务以在其位置下载有效负载。

工程师因向中国走私美国军队筹码而面临219年监禁

吊具还将禁用安全工具和软件，清除历史记录和日志，并寻找已经运行的任何加密货币挖掘操作以终止进程 - 为自己的活动保留任何可用的CPU功率。任何使用超过30%可用内存资源的进程都将被终止。

为了保持持久性，Golang将自己设置为名为mysqlc的系统中的cron作业和服务。检查下载脚本，如有必要，每15分钟重新执行一次。

该恶意软件还将阻止端口3333,5555,7777和9999上的传出流量，F5表示可能是由于这些端口被其他加密货币矿工使用。