快捷搜索:  as  xxx

F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加

近日,F5安然钻研院(F5 Labs)的钻研职员公布了近期发明的新型GoLang加密泉币掘客恶意软件。该恶意软件针对基于Linux的办事器提议进击以掘客XMR(门罗币)。钻研职员估算,已稀有千台机械受到僵尸收集感染。

恶意软件使用不合破绽功能示例

发明恶意哀求,为GO说话编写的新型恶意软件

2019年6月14日,F5钻研职员检测到针对ThinkPHP(CVE-2019-9082和CVE未分配),Atlassian Confluence(CVE-2019-3396)和Drupal(CVE-2018-7600)(也称为Druppalgeddon2)中破绽的恶意哀求。哀求中通报的有效负载考试测验经由过程发送相同破绽的要领进行传播,同时试图应用多个硬编码凭证连接到Redis数据库并经由过程SSH协议连接。终纵目的是经由过程上述措施将加密泉币掘客恶意软件安装至办事器,并感染其他办事器以继承传播。这次进击行径中所使用的部分破绽为常见目标,但发送的恶意软件却是用Go(GoLang)说话编写。值得留意的是,Go是一种不常被用于创建恶意法度榜样的新编程说话。

Go说话已有将近十年的历史,平日被大年夜多半开拓者合法应用,是以应用GoLang进行恶意软件进击的活动并不常见。2019年1月,一个早期的GoLang恶意软件样本被阐发并宣布。

F5 Labs的钻研职员捕获的这一样本与用Go编写的Zebrocy恶意软件变种和MalwareBytes阐发的窃取法度榜样不合。颠末初步判断,该样本彷佛来自一款新的恶意软件,而该恶意软件今朝尚未被反病毒软件供应商收录,由于检测到这一恶意软件的反病毒软件将其归为一样平常恶意软件类型。

瞄准Linux办事器,恶意软件以七种传播要领

该新型GoLang恶意软件专门针对Linux 办事器、经由过程七种不合的要领传播:包括四类Web利用法度榜样(两种针对ThinkPHP, 一种针对Drupal, 一种针对Confluence)、SSH凭证罗列、Redis数据库密码罗列,以及考试测验应用已发明的SSH密钥连接其他谋略机。因为今朝安装加密掘客软件的行径已相称普遍,以是其传播技巧量级之大年夜也成为一个显着的特性。

跟着F5钻研职员对该恶意软件进行追本溯源,发明进击者应用了在线剪贴板pastebin网站来托管spearhead bash脚本,恶意软件已托管在一个被入侵的中国电子商务网站上。追查历程中钻研职员发明,在剪切板和GitHub上的帐户于几天前创建,并克隆了一个基于Golang的破绽扫描法度榜样项目,这注解进击者仍在实验中。而根据剪贴板和GitHhub上的用户名以及克隆项目揣摸,钻研员们狐疑此次进击可能是来自中国的黑客所为。

Pastebin上传播恶意软件的用户信息示例

F5不雅点:GoLang恶意软件提示新的安然风险应引起留意

只管这一恶意软件样本并不是F5钻研职员阐发过的最繁杂的类型,但它所具有的独特点足以引起关注。然而进击者考试测验应用量重于质的模式来探索一种进入系统的措施,却裸露了它的不成熟。

GoLang恶意软件首次呈现是在2018年中期,并在2019年持续发生。因为Go 说话主要被开拓者用于合法法度榜样,平日不会被反病毒软件收录,也正因如斯,GoLang开始被恶意进击者用作编写恶意软件的说话,使其徐徐走向了"暗中"的一壁, 致使Golang恶意软件开始呈现在要挟场景中。

具有独特点的要挟活动和恶意软件只是F5 Labs赓续检测的一部分要挟载体。

责任编辑:刘沙

您可能还会对下面的文章感兴趣: