加密 WatchDog 僵尸网络针对 Windows 和 Linux 服务器

Andrew 2021-02-19
专栏 - 资讯 发布于 2021-02-19 09:51:12 阅读 73 评论 0

Palo Alto Networks的安全研究人员发现了一个针对Windows和Linux系统的,名为WatchDog的加密劫持僵尸网络。

WatchDog是安全专家发现的最大,持续时间最长的Monero加密劫持操作之一,其名称来自名为watchdogd的 Linux daemon 的名称 。WatchDog僵尸网络至少自2019年1月27日以来一直处于活动状态,并且已经开采了至少209个Monero(XMR),价值约32,056美元。

Palo Alto专家确定,至少有476个系统受到僵尸网络的攻击,其中主要是Windows和NIX云实例,它们参与了采矿作业。

僵尸网络是用Go编程语言编写的,它是熟练的编码人员的工作。

该僵尸程序使用33种不同的漏洞利用程序来针对过时的企业应用程序,以利用32个漏洞。该漫游器使用的漏洞利用列表下方:

  • CCTV exploit

    • 目前尚不知道目标是CCTV设备,还是有另一个绰号“ cctv”代表。
  • Drupal

    • 版本7和8。
  • Elasticsearch

    • CVE-2015-1427(Elasticsearch沙箱规避– 1.3.8之前的版本和1.4.3之前的1.4.x)
    • CVE-2014-3120(1.2之前的Elasticsearch)
  • Apache Hadoop

  • PowerShell

    • 编码的命令行操作。
  • Redis

  • ThinkPHP

    • CVE-2018-1273,1.13-1.13.10之前的版本,2.0-2.0.5
  • SQL服务器

  • ThinkPHP

    • 版本5.x,5.10、5.0.23
  • Oracle WebLogic服务器

    • CVE-2017-10271 –版本10.3.6.0.0、12.1.3.0.0、12.2.1.1.0和12.2.1.2.0)

通过分析config.json文件,专家可以识别三个XMR钱包地址:

  • 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR
  • 82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4
  • 87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv

上面的XMR钱包地址至少与三个公共采矿池和一个私人采矿池一起使用,以处理采矿作业。

WatchDog僵尸网络针对加密矿活动中的Windows和Linux服务器

WatchDog矿工操作的Maltego图表(Palo Alto Networks)

“很明显,WatchDog的操作员是熟练的编码人员,在采矿作业方面相对缺乏关注。尽管当前没有迹象表明存在其他危害云的活动(即捕获云平台IAM凭据,访问ID或密钥),但可能会进一步损害云帐户。由于在植入密码劫持软件期间获得了根和管理访问权,这些参与者很可能在他们已经受到破坏的云系统上找到与IAM相关的信息。” Palo Alto总结说。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!