可自我传播的新蠕虫会把Windows、Linux服务器变成门罗币矿机

安全
自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。

自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。

[[373308]]

自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制(C2)服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。

C2服务器用于托管bash或PowerShell滴管脚本(取决于目标平台),一个基于Golang的二进制蠕虫,以及部署的XMRig矿工,以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币(门罗币)。

该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器,就会部署加载器脚本(Linux的ld.sh和Windows的ld.ps1),该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。

如果恶意软件检测到受感染的系统正在监听52013端口,它将自动杀死自己。如果该端口未被使用,蠕虫将打开自己的网络套接字。

要防御这种新的多平台蠕虫发动的蛮力攻击,网络管理员应该限制登录条件,并在所有暴露在互联网上的服务上使用难以猜测的密码,以及尽可能使用双因素认证。

责任编辑:未丽燕 来源: 今日头条
相关推荐

2021-01-07 10:41:42

GolangWindowsLinux

2021-01-04 08:23:24

蠕虫恶意软件双因素认证

2021-04-26 23:27:41

僵尸网络漏洞恶意代码

2021-10-19 07:06:27

服务器Kubernetes集群

2019-06-11 09:23:38

2010-10-25 14:10:14

Linux无线网卡

2011-03-25 15:24:40

Nagios监控

2022-02-17 11:19:33

Kubernetes服务器运维

2021-01-04 13:23:56

僵尸网络加密货币漏洞

2022-09-16 14:26:56

恶意软件网络攻击

2012-05-15 17:35:57

操作系统Ubuntu

2010-05-21 13:07:14

Windows下SVN

2020-07-16 11:51:37

漏洞WindowsDNS服务器

2022-07-06 14:53:08

勒索软件网络攻击

2022-05-16 13:37:12

Sysrv僵尸网络微软

2009-07-07 18:31:03

VMwareWindowsLinux

2018-10-11 08:57:22

2012-04-18 10:54:09

2010-02-01 09:39:44

Linux服务器

2011-01-14 15:58:01

Linux集群系统
点赞
收藏

51CTO技术栈公众号