近日,騰訊安全威脅情報中心檢測到國內大量企業(yè)遭遇亡命徒(Outlaw)僵尸網絡攻擊。攻擊者通過暴力破解使用SSH服務的機器來擴大僵尸網絡的規(guī)模,最后通過加密貨幣挖礦來盈利。值得注意的是,遭爆破攻擊后,攻擊者將獲得對目標服務器的完全控制權,危害極大。
根據騰訊安全威脅情報中心數據顯示,該僵尸網絡已造成國內約2萬臺Linux服務器感染,影響上萬家企業(yè)。騰訊安全專家建議政企用戶提高警惕,以防中招。
亡命徒(Outlaw)僵尸網絡被騰訊安全高級威脅檢測系統(tǒng)鎖定
事實上,這已經不是亡命徒(Outlaw)第一次發(fā)動攻擊了。早在2018年,亡命徒(Outlaw)僵尸網絡便被檢測發(fā)現可通過SSH爆破攻擊目標系統(tǒng),同時傳播基于Perl的Shellbot和門羅幣挖礦木馬。而此次攻擊傳播的母本文件,經騰訊安全專家深入溯源分析后發(fā)現可能為亡命徒(Outlaw)僵尸網絡的第3個版本。
據安全專家介紹,亡命徒(Outlaw)通過SSH爆破攻擊,訪問目標系統(tǒng)并下載帶有shell腳本、挖礦木馬、后門木馬的TAR壓縮包文件,然后通過執(zhí)行遠程命名來下載和執(zhí)行惡意程序。爆破成功后,Outlaw將刪除舊版本的惡意程序和目錄,然后解壓獲取到的最新版本惡意程序并執(zhí)行。需要注意的是,Outlaw能夠執(zhí)行多個后門命令,包括文件下載、DDoS攻擊,以及找到大量Linux平臺競品挖礦木馬并進行清除。
亡命徒(Outlaw)僵尸網絡之前通過利用Shellshock漏洞進行分發(fā),因此被命名為“ Shellbot”。Shellbot利用物聯網(IoT)設備和Linux服務器上的常見命令注入漏洞進行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中發(fā)現的一個嚴重的漏洞,大多數Linux發(fā)行版通常會使用到該功能,攻擊者可以在這些受影響的Linux服務器上遠程執(zhí)行代碼。
目前,Outlaw僵尸網絡的影響仍在擴散,對企業(yè)服務器危害嚴重。對此,騰訊安全專家建議企業(yè)Linux服務器管理員檢查服務器資源占用情況,及時修改弱密碼,避免被暴力破解。若發(fā)現服務器已被入侵安裝挖礦木馬,可通過騰訊安全系列產品采取相應解決措施。
作為一家擁有20多年安全防護經驗以及頂尖安全研究團隊的安全廠商,騰訊安全旗下的安全產品矩陣可為檢測、防御亡命徒(Outlaw)僵尸網絡的攻擊活動提供全方位防護。其中,騰訊iOA可查殺亡命徒(Outlaw)僵尸網絡釋放的后門木馬、挖礦木馬程序;高級威脅檢測系統(tǒng)支持通過協(xié)議特征檢測亡命徒(Outlaw)僵尸網絡的挖礦行為、檢測SSH弱口令爆破攻擊行為等;主機安全支持檢測云主機是否存在SSH弱口令,檢測外部針對云主機的SSH弱口令爆破行為;網絡資產風險監(jiān)測系統(tǒng)支持監(jiān)測全網資產是否存在SSH弱口令,檢測全網資產是否受Shellshock漏洞CVE-2014-7169(UCS Manager相關)影響等,保障企業(yè)用戶服務器安全,護航企業(yè)發(fā)展。
(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )