研究表明,最近正在进行的加密货币挖矿活动已经升级了其武器库并改进了防御规避策略,使威胁行为者能够隐藏他们的入侵而不被注意和不被注意。其初始攻击过程为:运行一个名为“alpine:latest”的正常镜像后,执行恶意命令,导致一个名为“autom.sh”的shell脚本被下载到设备上。据DevSecOps和云安全公司AquaSecurity的研究人员称,他们在过去三年中一直在跟踪和分析这种加密货币挖矿操作,他们仅在2021年第三季度就发现了125次攻击,这表明此类攻击并未放过。势头缓慢。虽然该活动的早期阶段没有采用任何特殊技巧来隐藏挖矿活动,但后来的活动表明其开发者采取了极端措施来使自己不被发现和不被发现,主要的措施是禁用安全机制的能力,以及能够下载经过混淆的挖矿shell脚本。攻击者对脚本进行了5次Base64编码,以逃避安全工具的检测。研究人员表示:“Autom加密货币挖矿恶意软件活动表明,当今的攻击者正变得越来越老练,他们改进了攻击方法以及被安全解决方案检测到的能力。”为了防范这些威胁,建议组织密切关注可疑的容器活动,执行动态图像分析,并定期扫描您的环境以发现不当问题。图1加密货币挖矿活动众所周知,各种犯罪集团(如Kinsing)经常进行这种恶意软件活动,以劫持计算机来挖取加密货币。他们不断扫描互联网以查找配置错误的Docker服务器,这些服务器反过来会侵入未受保护的主机并植入以前未记录的加密货币挖掘恶意软件(矿工)。图2.加密货币挖矿活动。除此之外,一个名为TeamTNT的黑客组织被发现攻击不安全的Redis数据库服务器、阿里巴巴弹性计算服务(ECS)实例、暴露的DockerAPI和易受攻击的Kubernetes集群,以便在目标主机上以root权限执行恶意代码并部署加密货币挖掘有效负载和窃取登录信息的恶意程序。此外,受损的DockerHub帐户还用于托管恶意图像,这些图像随后被用于分发加密货币挖掘恶意软件。Sophos高级威胁研究员SeanGallagher在分析Tor2Mine挖矿活动的文章中指出:“挖矿恶意软件是网络犯罪分子将漏洞转化为数字现金的一种低风险方式,更大的风险是与他们竞争。其他矿工也有类似发现易受攻击的服务器。”Tor2Mine挖矿活动使用PowerShell脚本来禁用恶意软件保护机制、执行矿工有效负载并收集Windows登录信息。最近,Log4j日志库中的安全漏洞和AtlassianConfluence、F5BIG-IP、VMwarevCenter和OracleWebLogicServers中新发现的漏洞被滥用来接管机器来挖掘加密货币,这种诡计被称为cryptojacking。早些时候,网络附加存储(NAS)设备制造商QNAP警告说,以其设备为目标的加密货币挖掘恶意软件可能会占用CPU总使用量的50%左右。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
