用户模式的​​Rootkit恶意软件Migo隐藏于Linux,利用Redis进行加密劫持

安全侠2024-02-22 15:34:35

新的“Migo”恶意软件针对Linux服务器,利用Redis进行加密劫持。使用用户模式​​Rootkit隐藏其活动,使检测变得困难。保护您的Redi 服务器并保持警惕!



Cado安全实验室透露,已发现针对流行数据存储系统Redis的复杂Linux恶意软件活动,以使用“系统弱化命令”获得初始访问权限。


Cado研究人员透露,这款名为Migo的恶意软件利用Redis进行加密劫持。攻击者在目标的Redis服务器上执行命令以禁用配置选项,并使它们在部署有效负载之前容易受到攻击。


主要有效负载Migo是一个Golang ELF二进制文件,可从GitHub检索XMRig安装程序。Redis系统弱化命令用于禁用配置选项,例如保护模式和副本只读,使用CLI命令从Pastebin等外部源执行恶意负载,以在后台挖掘加密货币。


供您参考,保护模式是3.2.0版本中引入的Redis服务器操作模式,用于减轻潜在的网络暴露。它只接受来自环回接口的连接,并且可能在初始访问时被禁用,以允许攻击者发送其他命令。


相反,Redis中的副本只读功能可防止意外写入副本,从而导致不同步。Cado研究人员报告称,Migo攻击者可能会利用此功能进行恶意有效负载传输,以便在将来利用Redis服务器时禁用此功能。


Migo使用编译时混淆和用户模式​​rootkit“libprocesshider”来隐藏进程和工件,使安全分析师难以检测和减轻威胁。安装矿工后,Migo设置XMRig的配置来查询系统信息,包括登录用户和资源限制。


“它还使用vm.nr_hugepages参数将系统上可用的大页数设置为128。这些行为对于加密劫持恶意软件来说是相当典型的,”Cado Security的安全研究员Matt Muir在一篇博客文章中指出。


它执行shell命令来复制二进制文件、禁用SELinux、识别卸载脚本、执行挖矿程序、终止竞争进程、注册持久性以及阻止到特定IP地址和域的出站流量。


此外,Migo依赖于systemd服务和计时器来实现持久性,并且开发人员混淆了pclntab结构中的符号和字符串,使恶意软件分析过程变得复杂。用户模式​​Rootkit的参与也使受感染主机的事后取证变得复杂,并且libprocesshider隐藏了磁盘上的伪影。


Migo的出现表明,以云为中心的攻击者正在不断完善他们的技术,并专注于利用面向Web的服务。研究人员得出结论,他们使用Redis系统弱化命令来禁用安全功能,这一举动此前在利用Redis进行初始访问的活动中未曾报道过。

linux服务器redis
本作品采用《CC 协议》,转载必须注明作者和本文链接
新的“Migo”恶意软件针对Linux服务器,利用Redis进行加密劫持。使用用户模式​​Rootkit隐藏其活动,使检测变得困难。保护您的Redi 服务器并保持警惕!
服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) 子域名收集,旁站,C段等 google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等 传输协议,通用漏洞,ex
⽹上整理的⾯试问题⼤全,有些 HW ⾯试的题,已经收集好了,提供给⼤家。
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了
Palo Alto Networks的安全研究人员发现了一个针对Windows和Linux系统的,名为WatchDog的加密劫持僵尸网络。WatchDog是安全专家发现的最大,持续时间最长的Monero加密劫持操作之一,其名称来自名为watchdogd的 Linux daemon 的名称 。Palo Alto专家确定,至少有476个系统受到僵尸网络的攻击,其中主要是Windows和NIX云实例,它们参与了采矿作业。该僵尸程序使用33种不同的漏洞利用程序来针对过时的企业应用程序,以利用32个漏洞。
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。
提及 Redis 自然是耳熟能详,说起 Redis 的漏洞的话,未授权访问漏洞、主从复制漏洞等也是张口就来,所以打算对 Redis 进行一个全面的总结。
到目前为止,只有在Linux服务器上运行的PostgreSQL数据库受到了攻击。该僵尸网络由研究人员代号 PgMiner,只是一长串针对网络技术牟取利润的最新网络犯罪活动中的最新形式。如果PgMiner找到了活动的PostgreSQL系统,则僵尸网络将从扫描阶段移至暴力破解阶段,在僵尸网络阶段,它会拖曳一长串密码以尝试猜测默认的PostgreSQL帐户“postgres”的凭据。一旦他们对被感染的系统有了更牢固的控制,PgMiner团队将部署一个硬币挖掘应用程序,并尝试在被检测到之前挖掘尽可能多的Monero加密货币。
Pwn2Own Miami 2022在4月19日至4月21日的比赛中演示了针对ICS和SCADA产品的26次零日攻击。
以下为信息安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,没有填答案是希望大家如果不懂能自己动手找到答案,祝各位都能找到满意的工作:) 注:做这个List的目标不是全,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。
安全侠
暂无描述