亞洲云計(jì)算服務(wù)提供商如今已經(jīng)成為CoinStomp惡意軟件攻擊的目標(biāo)，其攻擊旨在竊取用于開采加密貨幣的計(jì)算能力。CoinStomp惡意軟件部署的網(wǎng)絡(luò)攻擊技術(shù)包括時(shí)間戳(修改文件時(shí)間戳)、刪除系統(tǒng)加密策略，以及使用反向shell啟動(dòng)與惡意軟件的命令和控制通信。

云原生網(wǎng)絡(luò)取證和響應(yīng)平臺(tái)提供商Cado Security公司研究員Matt Muir在其發(fā)表的一篇文章中指出，“CoinStomp在之前的加密劫持攻擊中使用了時(shí)間戳。然而，這不是一種常見的技術(shù)。這種技術(shù)通常被用作一種反取證措施，以阻礙調(diào)查人員的調(diào)查和受害方的補(bǔ)救工作。”

Cybellum公司安全研究員和開發(fā)人員Gal Lapid解釋說，網(wǎng)絡(luò)攻擊者經(jīng)常更改關(guān)鍵文件。他說，“很多時(shí)候，這些文件位于包含許多同時(shí)生成的文件的文件夾中，一旦有一個(gè)文件‘不合適’(最近被更改過)，就可能會(huì)引發(fā)一些危險(xiǎn)信號(hào)。因此，網(wǎng)絡(luò)攻擊者可以復(fù)制文件夾內(nèi)其他文件的時(shí)間戳，從而躲避安全檢測(cè)?！?/p>

惡意軟件刪除加密策略文件

Vulcan Cyber公司的網(wǎng)絡(luò)安全工程師Mike Parkin指出，一些APT小組的工具包中包含時(shí)間戳操作。他說，“這并不是一種晦澀難懂的技術(shù)?！?/p>

CoinStomp惡意軟件還發(fā)出命令以刪除系統(tǒng)上的加密策略文件，甚至終止加密進(jìn)程。Cado Security公司的Muir寫道，“顯然，加密策略的執(zhí)行對(duì)惡意軟件的部署產(chǎn)生了切實(shí)的影響。如果惡意應(yīng)用程序使用不安全的協(xié)議，加密策略可能會(huì)阻止下載額外的有效負(fù)載，也可以防止惡意應(yīng)用程序運(yùn)行?！?/p>

CoinStomp團(tuán)伙精通云計(jì)算技術(shù)

為了發(fā)出命令和控制惡意軟件，CoinStomp團(tuán)伙在Linux系統(tǒng)上使用/dev/tcp文件創(chuàng)建了一個(gè)反向shell。Muir解釋說,“大多數(shù)Linux發(fā)行版都支持通過/dev/tcp設(shè)備文件對(duì)遠(yuǎn)程主機(jī)進(jìn)行讀/寫操作。當(dāng)然，這對(duì)于惡意軟件開發(fā)人員來說是完美的，因?yàn)樗且环N創(chuàng)建反向shell或C2通信通道的簡(jiǎn)單且原生支持的方法?！?/p>

北美共享評(píng)估指導(dǎo)委員會(huì)主席Nasser Fattah補(bǔ)充說：“由于/dev/tcp是Linux的原生版本，旨在與其他計(jì)算機(jī)通信，網(wǎng)絡(luò)攻擊者可以利用該文件，并將其作為常見的預(yù)期網(wǎng)絡(luò)流量，例如HTTP?！北泵拦蚕碓u(píng)估指導(dǎo)委員會(huì)是第三方風(fēng)險(xiǎn)管理提供工具和認(rèn)證的公司聯(lián)盟。

Muir認(rèn)為，CoinStomp團(tuán)伙展示了網(wǎng)絡(luò)攻擊者在云安全領(lǐng)域的復(fù)雜性和專業(yè)知識(shí)。他寫道，“采用反取證技術(shù)，并通過刪除加密策略來削弱目標(biāo)機(jī)器的安全性，不僅表明了網(wǎng)絡(luò)攻擊者對(duì)Linux安全措施的了解，而且還表明了對(duì)事件響應(yīng)過程的理解。”

敏銳地意識(shí)到如何在Linux上進(jìn)行檢測(cè)

Muir補(bǔ)充說，使用/dev/tcp創(chuàng)建用于通信的反向shell也是一種高級(jí)技術(shù)。他指出，“C2通信通常很嘈雜，并且很容易被監(jiān)控工具發(fā)現(xiàn)，但使用端口443有助于使這種流量看起來合法?！?/p>

Arctic Wolf公司首席技術(shù)官Ian McShane發(fā)現(xiàn)CoinStomp是一種不尋常的網(wǎng)絡(luò)攻擊。他說，“由于反向shell的使用和避免常見安全控制的能力，CoinStomp團(tuán)伙敏銳地意識(shí)到在Linux上進(jìn)行安全檢測(cè)的方式，并且能夠針對(duì)不一定對(duì)互聯(lián)網(wǎng)通信開放的基礎(chǔ)設(shè)施進(jìn)行攻擊。”

Valtix公司首席安全研究員Davis McCarthy補(bǔ)充說，“CoinStomp團(tuán)伙具有前瞻性思維，他們正在使用復(fù)雜技術(shù)來應(yīng)對(duì)可能遇到的安全控制措施。”