F5安全研究院發現新型GoLang惡意軟體借漏洞挖掘加密貨幣

2020-12-01 中國製造業信息化門戶

    近日,F5安全研究院(F5 Labs)的研究人員公布了近期發現的新型GoLang加密貨幣挖掘惡意軟體。該惡意軟體針對基於Linux的伺服器發起攻擊以挖掘XMR(門羅幣)。研究人員估算,已有數千臺機器受到殭屍網絡感染。

 

惡意軟體利用不同漏洞功能示例

發現惡意請求,為GO語言編寫的新型惡意軟體

    2019年6月14日,F5研究人員檢測到針對ThinkPHP(CVE-2019-9082和CVE未分配),Atlassian Confluence(CVE-2019-3396)和Drupal(CVE-2018-7600)(也稱為Druppalgeddon2)中漏洞的惡意請求。請求中傳遞的有效負載嘗試通過發送相同漏洞的方式進行傳播,同時試圖使用多個硬編碼憑據連接到Redis資料庫並通過SSH協議連接。最終目的是通過上述方法將加密貨幣挖掘惡意軟體安裝至伺服器,並感染其他伺服器以繼續傳播。此次攻擊行為中所利用的部分漏洞為常見目標,但發送的惡意軟體卻是用Go(GoLang)語言編寫。值得注意的是,Go是一種不常被用於創建惡意程序的新程式語言。

    Go語言已有將近十年的歷史,通常被大多數開發者合法使用,因此使用GoLang進行惡意軟體攻擊的活動並不常見。2019年1月,一個早期的GoLang惡意軟體樣本被分析並發布。
F5 Labs的研究人員捕獲的這一樣本與用Go編寫的Zebrocy惡意軟體變種和MalwareBytes分析的盜取程序不同。經過初步判斷,該樣本似乎來自一款新的惡意軟體,而該惡意軟體目前尚未被反病毒軟體供應商收錄,因為檢測到這一惡意軟體的反病毒軟體將其歸為一般惡意軟體類型。

瞄準Linux伺服器,惡意軟體以七種傳播方式

    該新型GoLang惡意軟體專門針對Linux 伺服器、通過七種不同的方式傳播:包括四類Web應用程式(兩種針對ThinkPHP, 一種針對Drupal, 一種針對Confluence)、SSH憑據枚舉、Redis資料庫密碼枚舉,以及嘗試使用已發現的SSH密鑰連接其他計算機。由於目前安裝加密挖掘軟體的行為已相當普遍,所以其傳播技術量級之大也成為一個明顯的特徵。

    隨著F5研究人員對該惡意軟體進行追本溯源,發現攻擊者使用了在線剪貼板pastebin網站來託管spearhead bash腳本,惡意軟體已託管在一個被入侵的中國電子商務網站上。追查過程中研究人員發現,在剪切板和GitHub上的帳戶於幾天前創建,並克隆了一個基於Golang的漏洞掃描程序項目,這表明攻擊者仍在實驗中。而根據剪貼板和GitHhub上的用戶名以及克隆項目推斷,研究員們懷疑這次攻擊可能是來自中國的黑客所為。

 

Pastebin上傳播惡意軟體的用戶信息示例

F5觀點:GoLang惡意軟體提示新的安全風險應引起注意

    儘管這一惡意軟體樣本並不是F5研究人員分析過的最複雜的類型,但它所具有的獨特性足以引起關注。然而攻擊者嘗試使用量重於質的模式來探索一種進入系統的方法,卻暴露了它的不成熟。

    GoLang惡意軟體首次出現是在2018年中期,並在2019年持續發生。由於Go 語言主要被開發者用於合法程序,通常不會被反病毒軟體收錄,也正因如此,GoLang開始被惡意攻擊者用作編寫惡意軟體的語言,使其逐漸走向了「黑暗」的一面, 致使Golang惡意軟體開始出現在威脅場景中。

    具有獨特性的威脅活動和惡意軟體只是F5 Labs不斷檢測的一部分威脅載體。獲取詳細技術細節可訪問F5 Labs網站博客。此外,作為F5旗下權威的安全研究機構,F5 Labs (https://www.f5.com/labs)致力於將應用威脅數據轉化為可利用的安全防護信息,通過分析並分享安全威脅場景助益網絡社區安全。

相關焦點

  • 「藍色知更鳥」正在挖掘加密貨幣
    「藍色知更鳥」正在挖掘加密貨幣 美國一家網絡安全公司的研究人員發現了一種新型的威脅,此威脅的終極目的是挖掘加密貨幣。 作者:超級盾來源:超級盾訂閱號|2020-05-14 09:39 美國一家網絡安全公司的研究人員發現了一種新型的威脅
  • 數字貨幣錢包安全白皮書
    近期,我們對應用市場上流通的熱錢包以及冷錢包進行了相關安全審核評估,發現了很多安全問題,360信息安全部依靠通過對各類攻擊威脅的深入分析及多年的安全大數據積累,旨在區塊鏈時代為數字貨幣錢包廠商提供安全性建議,保障廠商與用戶的安全,因此發布數字貨幣錢包安全白皮書為其作為參考
  • 地下市場出現針對比特幣ATM的惡意軟體
    金色財經比特幣 9月8日訊長期以來,普通銀行ATM一直是犯罪分子的目標,但隨著加密貨幣獲得認可,如今不法分子將目光轉向了比特幣ATM。(與普通ATM不同的是,比特幣ATM沒有統一的驗證或安全標準。)據趨勢科技(Trend Micro)安全研究人員透露,地下黑市現在出現了一種針對比特幣ATM的惡意軟體。比特幣ATM惡意軟體售價達2.5萬美元,這個軟體利用了一個服務漏洞,允許使用該軟體的人購買價值6750美元、英鎊或歐元的比特幣。惡意軟體的購買者可以通過近場通信(NFC)技術或這個惡意軟體提供的歐洲支付卡、萬事達和Visa卡(EMV)的預寫卡去購買比特幣。
  • Gitpaste-12惡意軟體通過GitHub和Pastebin攻擊Linux伺服器和IoT設備
    Juniper Threat實驗室已經發現了這一點。  從技術上講,蠕蟲是一種可在計算機之間傳播其自身副本的惡意軟體。  蠕蟲可以在沒有任何人為幹預的情況下進行自我複製,並且不需要將其附加到軟體程序中即可造成損害。  Gbhackers中描述了許多有趣的蠕蟲攻擊。Gitpaste-12是一種具有許多功能的重要蠕蟲。
  • 比特幣都漲到10萬一個了,但數字貨幣真的安全嗎?
    比方說 MD5 和 SHA-1算法,哈希函數算法 MD5 與美國標準技術局頒布的算法 SHA-1,居於國際應用範圍最廣的重要算法之列,然而目前這兩個算法卻被證明有重大安全漏洞,之前卻一直被認為是安全的哈希函數算法。目前流行的數字貨幣設計的一些關鍵密碼算法尚未得到足夠理論分析和檢驗。由於這些系統承載了虛擬數字資產,底層算法的潛在問題一旦暴露,會對資產安全構造嚴重威脅。
  • Android最著名的惡意軟體之一——「Joker」丨大東話安全
    東哥快給我講講吧~ 二、話說事件 大東:近日,Google從官方商店下架了17個Android應用程式,Zscaler的安全研究人員發現,這17個應用程式都感染了「小丑Joker」惡意軟體。 小白:這個「小丑Joker」惡意軟體是做什麼的呀?
  • 如何預防惡意軟體的攻擊?10項防禦措施來幫您!
    在上一篇我們已經了解了最常見的十大惡意軟體類型,那麼針對如此複雜多樣的惡意軟體攻擊,該採取什麼措施保護自己免受惡意軟體的威脅呢?10項防範措施助您安全抵禦惡意軟體的攻擊1. 更新您的設備,作業系統,插件程序,瀏覽器至最新版本之所有網絡犯罪分子能夠成功攻擊大部分原因是您的設備,系統,插件,瀏覽器舊版本存在漏洞而沒有及時進行打補丁修復和更新!
  • mac惡意軟體使用run-only AppleScripts繞過檢測
    mac惡意軟體使用run-only AppleScripts繞過檢測 ​Sentinel One安全研究人員在2020年底發現了一個新的OSAMiner樣本,並對其進行了分析。
  • Android惡意軟體開發的新技術 | 360惡意軟體專題報告
    惡意軟體專題報告》,作者:360烽火實驗室,致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。2016年全年,從手機用戶感染惡意程序情況看,360網際網路安全中心累計監測到Android用戶感染惡意程序2.53億,平均每天惡意程序感染量約為70萬人次。釣魚軟體、勒索軟體、色情播放器軟體、頑固木馬成為2016年流行的惡意軟體。
  • Android惡意軟體開發的新技術|360惡意軟體專題報告
    雷鋒網按:本文節選自《2016年Android惡意軟體專題報告》,作者:360烽火實驗室,致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。
  • 新蠕蟲病毒被發現,偷偷運行加密貨幣礦機程序
    據外媒報導,從2020年12月起,一種新發現的基於Golang的自我傳播的惡意軟體一直在Windows和Linux伺服器上主動運行XMRig加密貨幣礦機程序。研究人員稱這個多平臺的惡意軟體還具有蠕蟲功能,可以通過用弱密碼強行使用面向公眾的服務傳播到其他系統。
  • 惡意軟體檢測常見方法
    研究人員已經提出了一些惡意軟體檢測方法,包括靜態分析和動態分析及混合分析法。一、惡意軟體引發的安全問題惡意軟體是一種破壞受害者的工作站、行動裝置、伺服器和網關的程序。常見的惡意軟體程序有病毒、蠕蟲、木馬、間諜軟體、勒索軟體、恐嚇軟體、殭屍程序和rootkit。
  • 《在量子計算時代確保通信安全:管理加密風險》提出這12條建議
    近期,美國蘭德公司發布了一份報告:《在量子計算時代確保通信安全:管理加密風險》。量子計算能夠破解現代信息和通信基礎設施所依賴的數字加密系統,因此可能會危及軍事通信、金融交易和全球經濟的支持系統。第一類的即時安全漏洞具有更大的潛在破壞性,這是因為這些漏洞往往會破壞PKC系統中建立身份和身份驗證的信任。例如,如果一臺量子計算機被用來獲取私密鑰匙,惡意參與者可能會發出數字證書,這些證書可能會錯誤地將自己標識為網絡上的幾乎任何實體。他們可以偽造可信軟體更新所需要的數字籤名,將惡意軟體上傳到設備上,冒充金融機構發起欺詐性交易或貨幣轉帳,或者獲得對使用PKI的其他網絡的可信訪問權。
  • 360手機專家解密Android惡意軟體7大技術趨勢
    Android系統憑藉其開放性及良好的用戶體驗,短短的幾年便登上全球智慧型手機的王座,但隨之而來的扣費木馬、惡意廣告、騷擾電話等安全問題,卻令廣大Android用戶極其頭疼。9月23日,在360公司主辦的2013年網際網路安全大會(ISC)上,手機安全專家劉敦俊介紹了Android惡意軟體的七大技術趨勢,指出未來移動安全形勢不容樂觀。
  • 23歲的女黑客盜竊價值65000美元的加密貨幣
    接著她將和該郵箱綁定的加密貨幣帳號中的100,000個瑞波幣發送到了她在中國的帳號。這些瑞波幣被兌換成了比特幣並轉到了多個數字錢包中。受害者2天後重新獲得了他的帳號,但是這時候這個女黑客已經把他的資金全部榨乾了。
  • WannaCry勒索軟體來勢洶洶,席捲全球
    5月12日早些時候,卡巴斯基實驗室產品在全球範圍內成功檢測和攔截了大量勒索軟體攻擊。在這些攻擊中,受害者的數據會被加密,並且在被加密文件上添加「.WCRY」的擴展名。這次攻擊被稱為「WannaCry」攻擊。卡巴斯基實驗室的分析發現,這種攻擊利用微軟Windows系統的一種 SMBv2 遠程代碼執行漏洞進行感染。
  • 新的一年,新型勒索軟體Babuk Locker開始針對大型企業進行攻擊
    新年剛過沒幾天,人們就發現了2021年的第一批新型勒索軟體。根據最新的研究,到目前為止,一個名為Babuk Locker的勒索軟體似乎已經成功入侵了五家公司。研究人員是喬治亞理工學院的計算機科學學生Chuong Dong,他說,他是在推特上一位名叫 "Arkbird "的安全研究人員的推文中第一次看到這個勒索軟體的。隨後,他在一個分享漏洞和洩密資料庫的論壇RaidForums上發現了Babuk的相關信息。
  • 軟體安全:危險無處不在 損失觸目驚心
    用北京航天航空大學軟體安全專家殷永峰副教授的話說:「隨著先進裝備的軟體化程度不斷提升,由軟體缺陷和漏洞引發的安全問題日益凸顯,必須引起高度重視,加快軟體安全檢測國家標準的制定。中國產業發展研究院近日就軟體安全問題專訪了北航軟體安全專家殷永峰副教授。
  • 2500 萬 Android 設備被「Agent Smith」惡意軟體感染
    根據報導,一種名為 Agent Smith 的新型 Android 惡意軟體已經感染了 2500 萬部手機,其目的是推送廣告或劫持有效的廣告事件
  • Agent Smith惡意軟體感染約2500萬安卓設備被
    中關村在線消息:近日據外媒消息,一種名為 Agent Smith 的新型 Android 惡意軟體已經感染了該惡意軟體通常偽裝成 Google Updater、Google Update for U 或 com.google.vending 等實用工具 ,並對用戶隱藏其圖標。接下來,惡意軟體檢查目標手機上的應用程式,然後獲取帶有惡意廣告模塊的「補丁」識別 APK 的更新。