内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统

admin
admin
admin
102755
文章
87
评论
2023年6月26日23:12:22评论41 views字数 1785阅读5分57秒阅读模式
内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统

安芯网盾内存安全周报专栏,希望帮助企业更好地理解内存安全相关问题。让用户更好地认识、发现问题,防止外部入侵等威胁、有效地对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等恶意行为。


内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统
一、微软称黑客利用特洛伊OpenSSH版本攻击Linux系统(6.22)
近日,微软发现互联网上暴露的Linux和物联网(IoT)设备正遭受暴力网络攻击,这是针对加密货币挖矿的攻击活动之一(加密货币挖矿又称恶意挖矿,是一种新兴的在线威胁。它隐藏在服务器或PC等设备上,并利用设备资源来“挖掘”加密货币)。
详细情况
黑客通过获取系统访问权限成功植入特洛伊OpenSSH软件包,建立后门并窃取SSH凭据,以保持持久性攻击。同时,后门Shell脚本会在“authorized_keys”文件中添加两个公钥,以持久连接SSH。
此外,黑客还利用该后门收集系统信息,并安装Reptile和Diamorphine开源LKM(rootkit),以隐藏在受感染系统中的恶意活动。
黑客还使用后门来清除其他挖矿程序,通过在“/etc/hosts”中添加新的iptables规则和条目,屏蔽与该加密货币挖矿竞争对手相关的主机和IP地址的流量。
在攻击中,黑客还部署了ZiggyStarTux开源IRC机器人(IRC bot,是一种恶意软件或恶意程序),该机器人具备分布式拒绝服务(DDoS)功能,并允许黑客执行bash命令。
该后门恶意软件通过将二进制文件复制到多个磁盘位置,并创建定期执行的cron作业等技术手段维持持久性攻击。此外,黑客将ZiggyStarTux注册为systemd服务,并在“/etc/systemd/system/network-check.service”中配置服务文件。ZiggyStarTux机器人与IRC服务器之间的C2通信流量伪装成一个东南亚合法金融机构的子域名,以来隐藏攻击者的基础设施。
在调查中,微软发现黑客指示这些机器人下载并执行其他shell脚本,暴力攻击受感染设备所在子网中的每个主机,并使用OpenSSH软件包在存在漏洞的系统上设置后门。
参考链接
https://www.bleepingcomputer.com/news/security/microsoft-hackers-hijack-linux-systems-using-trojanized-openssh-version/
二、NSA发布针对BlackLotus UEFI恶意软件的防御指南 (6.22)
近日,美国国家安全局(NSA)发布了针对BlackLotus UEFI恶意软件攻击的防御指南,以帮助用户应对这一新型安全威胁。
详细情况
BlackLotus自2022年10月以来一直在黑客论坛上广泛传播,被宣称为一种可以逃避安全检测、抵御清除尝试,并绕过多个Windows安全功能(如Defender、HVCI和BitLocker)的恶意软件。
微软于今年5月发布了安全更新补丁,以修复绕过CVE-2022-21894补丁的Secure Boot 0-day漏洞(CVE-2023-24932)。
但是,CVE-2023-24932安全补丁仅适用于Windows 10、Windows 11和Windows Server支持的版本。
该漏洞在默认情况下为禁用状态,无法删除BlackLotus部署所利用的攻击向量。为确保Windows设备的安全,管理员必须手动执行一系列操作,包括“更新可启动介质,并在更新之前撤销授权”。
防御建议
1、及时应用最新的安全更新补丁、更新恢复介质,并激活可选的防御措施。
2、通过配置端点安全软件,加强防御策略,阻止BlackLotus恶意软件的安装尝试。
3、使用端点安全产品和固件监控工具,监控设备完整性测量和引导配置。
4、自定义UEFI Secure Boot,以阻止2022年1月之前的旧版Windows驱动程序签名。
参考链接
https://www.bleepingcomputer.com/news/security/nsa-shares-tips-on-blocking-blacklotus-uefi-malware-attacks/
内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统

内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统

内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统
内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统

原文始发于微信公众号(安芯网盾):内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月26日23:12:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内存安全周报第142期 | 微软称黑客利用特洛伊OpenSSH版本攻击Linux系统https://cn-sec.com/archives/1835691.html

发表评论

匿名网友 填写信息