近日，據(jù)多名安全研究人員報(bào)告，一個(gè)代號(hào)Sysrv-hello的加密挖礦僵尸網(wǎng)絡(luò)正在積極掃描易受攻擊的Windows和Linux企業(yè)服務(wù)器，并通過(guò)自傳播式惡意軟件載荷感染門(mén)羅幣(Monero)挖礦機(jī)(XMRig)。

該僵尸網(wǎng)絡(luò)于2020年12月開(kāi)始活躍，今年2月首次被阿里云安全研究人員發(fā)現(xiàn)。3月份該僵尸網(wǎng)絡(luò)的活動(dòng)激增，先后引起來(lái)Lacework Labs和Juniper Threat Labs的安全研究人員的注意。

最初，Sysrv-hello僵尸網(wǎng)絡(luò)使用的是帶有礦工和蠕蟲(chóng)(傳播器)模塊的多組件體系結(jié)構(gòu)，后來(lái)升級(jí)為使用單個(gè)二進(jìn)制文件，能夠?qū)⑼诘V惡意軟件自動(dòng)傳播到其他設(shè)備。

Sysrv-hello的傳播器組件能夠主動(dòng)掃描互聯(lián)網(wǎng)，尋找更易受攻擊的系統(tǒng)，利用其可遠(yuǎn)程執(zhí)行惡意代碼的漏洞，將受害設(shè)備添加到Monero采礦機(jī)器人大軍中。

Lacework發(fā)現(xiàn)，攻擊者“正在通過(guò)PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic和Apache Struts中注入遠(yuǎn)程代碼執(zhí)行漏洞來(lái)針對(duì)云工作負(fù)載，以獲取初始訪(fǎng)問(wèn)權(quán)限”。

Lacework補(bǔ)充說(shuō)：“橫向移動(dòng)是通過(guò)受害機(jī)器上可用的SSH密鑰以及從bash歷史記錄文件，SSH配置文件和known_hosts文件中標(biāo)識(shí)的主機(jī)進(jìn)行的。”

Sysrv-hello攻擊流程 來(lái)源：Lacework

Sysrv-hello針對(duì)的漏洞

Sysrv-hello僵尸網(wǎng)絡(luò)的活動(dòng)在三月份激增之后，Juniper發(fā)現(xiàn)了六種漏洞，這些漏洞被主動(dòng)攻擊的惡意軟件樣本利用：

• Mongo Express RCE(CVE-2019-10758)
• XML-RPC(CVE-2017-11610)
• Saltstack RCE(CVE-2020-16846)
• Drupal Ajax RCE(CVE-2018-7600)
• ThinkPHP RCE(無(wú)CVE)
• XXL-JOB Unauth RCE(無(wú)CVE)

該僵尸網(wǎng)絡(luò)過(guò)去使用的其他漏洞還包括

• Laravel(CVE-2021-3129)
• Oracle Weblogic(CVE-2020-14882)
• Atlassian Confluence服務(wù)器(CVE-2019-3396)
• Apache Solr(CVE-2019-0193)
• PHPUnit(CVE-2017-9841)
• Jboss應(yīng)用程序服務(wù)器(CVE-2017-12149)
• Sonatype Nexus存儲(chǔ)庫(kù)管理器(CVE-2019-7238)
• Jenkins暴力破解
• WordPress暴力破解
• 通過(guò)YARN ResourceManager執(zhí)行Apache Hadoop未經(jīng)身份驗(yàn)證的命令執(zhí)行(無(wú)CVE)
• Jupyter Notebook命令執(zhí)行(無(wú)CVE)
• Tomcat Manager免身份驗(yàn)證上載命令執(zhí)行(無(wú)CVE)

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文