安全研究人员遇到了一种新的加密劫持活动,该活动使用一种名为 Migo 的新恶意软件,该恶意软件针对 Linux 主机上的 Redis 服务器。在 Cado Security 研究人员注意到在野外利用 Redis 系统的新命令后,该活动曝光了。
初始访问
-
根据 Cado 安全性,Migo 作为 Golang ELF 二进制文件分发,具有编译时混淆和在 Linux 主机上持久化的能力。
-
攻击的初始访问阶段涉及使用特定的 CLI 命令禁用 Redis 的各种配置选项。
-
例如,攻击者关闭保护模式和副本只读等功能,以促进其恶意活动。
丢弃有效负载
-
在获得访问权限后,他们设置了一系列命令,从外部来源(如 Transfer.sh 和 Pastebin)检索包括 Migo 在内的恶意有效载荷。
-
这些有效载荷旨在在后台挖掘加密货币,同时保持不被发现。
Migo能力
-
它的主要功能是直接从 GitHub 的 CDN 在受感染的端点上获取、安装和启动修改后的 XMRig 矿工。
-
它使用用户模式 rootkit 来隐藏其进程和文件,使检测过程变得困难。此外,它还操纵 /etc/hosts 以防止与云服务提供商的通信,从而隐藏其在感染期间的活动。
基于云的应用程序 - 可行的攻击媒介
Redis 与 Kubernetes、Docker、Jupyter 和 Notebook 等其他流行的云原生技术一起,在网络犯罪分子中流行起来,发起 DDoS 攻击或对加密货币进行非法挖掘。
最近,一个名为 Commando Cat 的加密劫持活动 被发现利用易受攻击的 Docker API 作为初始访问向量,以促进额外有效载荷和 shell 脚本的交付。
结论
Migo 的出现表明,以云为中心的攻击者正在不断改进他们的技术和策略,以利用面向 Web 的服务。甚至使用 Go 语言来生成编译的二进制文件也表明攻击者正在磨练他们的规避策略。随着他们的活动继续受到安全专家的关注,预计组织将利用与恶意软件相关的 IOC 来加快其威胁搜寻和调查过程。
原文始发于微信公众号(HackSee):Linux 恶意软件“Migo”针对 Redis 进行加密劫持攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论