應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

亞洲云服務(wù)提供商成為加密挖礦惡意軟件的攻擊目標(biāo)

2022-02-09 14:05 企業(yè)網(wǎng)D1Net

導(dǎo)讀:亞洲云計(jì)算服務(wù)提供商如今已經(jīng)成為CoinStomp惡意軟件攻擊的目標(biāo),其攻擊旨在竊取用于開采加密貨幣的計(jì)算能力。

  亞洲云計(jì)算服務(wù)提供商如今已經(jīng)成為CoinStomp惡意軟件攻擊的目標(biāo),其攻擊旨在竊取用于開采加密貨幣的計(jì)算能力。CoinStomp惡意軟件部署的網(wǎng)絡(luò)攻擊技術(shù)包括時(shí)間戳(修改文件時(shí)間戳)、刪除系統(tǒng)加密策略,以及使用反向shell啟動(dòng)與惡意軟件的命令和控制通信。

  云原生網(wǎng)絡(luò)取證和響應(yīng)平臺(tái)提供商Cado Security公司研究員Matt Muir在其發(fā)表的一篇文章中指出,“CoinStomp在之前的加密劫持攻擊中使用了時(shí)間戳。然而,這不是一種常見的技術(shù)。這種技術(shù)通常被用作一種反取證措施,以阻礙調(diào)查人員的調(diào)查和受害方的補(bǔ)救工作?!?/p>

  Cybellum公司安全研究員和開發(fā)人員Gal Lapid解釋說(shuō),網(wǎng)絡(luò)攻擊者經(jīng)常更改關(guān)鍵文件。他說(shuō),“很多時(shí)候,這些文件位于包含許多同時(shí)生成的文件的文件夾中,一旦有一個(gè)文件‘不合適’(最近被更改過(guò)),就可能會(huì)引發(fā)一些危險(xiǎn)信號(hào)。因此,網(wǎng)絡(luò)攻擊者可以復(fù)制文件夾內(nèi)其他文件的時(shí)間戳,從而躲避安全檢測(cè)?!?/p>

  惡意軟件刪除加密策略文件

  Vulcan Cyber公司的網(wǎng)絡(luò)安全工程師Mike Parkin指出,一些APT小組的工具包中包含時(shí)間戳操作。他說(shuō),“這并不是一種晦澀難懂的技術(shù)?!?/p>

  CoinStomp惡意軟件還發(fā)出命令以刪除系統(tǒng)上的加密策略文件,甚至終止加密進(jìn)程。Cado Security公司的Muir寫道,“顯然,加密策略的執(zhí)行對(duì)惡意軟件的部署產(chǎn)生了切實(shí)的影響。如果惡意應(yīng)用程序使用不安全的協(xié)議,加密策略可能會(huì)阻止下載額外的有效負(fù)載,也可以防止惡意應(yīng)用程序運(yùn)行。”

  CoinStomp團(tuán)伙精通云計(jì)算技術(shù)

  為了發(fā)出命令和控制惡意軟件,CoinStomp團(tuán)伙在Linux系統(tǒng)上使用/dev/tcp文件創(chuàng)建了一個(gè)反向shell。Muir解釋說(shuō),“大多數(shù)Linux發(fā)行版都支持通過(guò)/dev/tcp設(shè)備文件對(duì)遠(yuǎn)程主機(jī)進(jìn)行讀/寫操作。當(dāng)然,這對(duì)于惡意軟件開發(fā)人員來(lái)說(shuō)是完美的,因?yàn)樗且环N創(chuàng)建反向shell或C2通信通道的簡(jiǎn)單且原生支持的方法?!?/p>

  北美共享評(píng)估指導(dǎo)委員會(huì)主席Nasser Fattah補(bǔ)充說(shuō):“由于/dev/tcp是Linux的原生版本,旨在與其他計(jì)算機(jī)通信,網(wǎng)絡(luò)攻擊者可以利用該文件,并將其作為常見的預(yù)期網(wǎng)絡(luò)流量,例如HTTP?!北泵拦蚕碓u(píng)估指導(dǎo)委員會(huì)是第三方風(fēng)險(xiǎn)管理提供工具和認(rèn)證的公司聯(lián)盟。

  Muir認(rèn)為,CoinStomp團(tuán)伙展示了網(wǎng)絡(luò)攻擊者在云安全領(lǐng)域的復(fù)雜性和專業(yè)知識(shí)。他寫道,“采用反取證技術(shù),并通過(guò)刪除加密策略來(lái)削弱目標(biāo)機(jī)器的安全性,不僅表明了網(wǎng)絡(luò)攻擊者對(duì)Linux安全措施的了解,而且還表明了對(duì)事件響應(yīng)過(guò)程的理解?!?/p>

  敏銳地意識(shí)到如何在Linux上進(jìn)行檢測(cè)

  Muir補(bǔ)充說(shuō),使用/dev/tcp創(chuàng)建用于通信的反向shell也是一種高級(jí)技術(shù)。他指出,“C2通信通常很嘈雜,并且很容易被監(jiān)控工具發(fā)現(xiàn),但使用端口443有助于使這種流量看起來(lái)合法?!?/p>

  Arctic Wolf公司首席技術(shù)官Ian McShane發(fā)現(xiàn)CoinStomp是一種不尋常的網(wǎng)絡(luò)攻擊。他說(shuō),“由于反向shell的使用和避免常見安全控制的能力,CoinStomp團(tuán)伙敏銳地意識(shí)到在Linux上進(jìn)行安全檢測(cè)的方式,并且能夠針對(duì)不一定對(duì)互聯(lián)網(wǎng)通信開放的基礎(chǔ)設(shè)施進(jìn)行攻擊?!?/p>

  Valtix公司首席安全研究員Davis McCarthy補(bǔ)充說(shuō),“CoinStomp團(tuán)伙具有前瞻性思維,他們正在使用復(fù)雜技術(shù)來(lái)應(yīng)對(duì)可能遇到的安全控制措施?!?/p>