近日,F5安适研究院(F5 Labs)的研究人员发布了近期发明的新型GoLang加密货币挖掘恶意软件。该恶意软件针对基于Linux的处事器倡议打击以挖掘XMR(门罗币)。研究人员估算,已有数千台机器受到僵尸网络传染。
恶意软件操作差别缝隙成果示例
2019年6月14日,F5研究人员检测到针对ThinkPHP(CVE-2019-9082和CVE未分配),Atlassian Confluence(CVE-2019-3396)和Drupal(CVE-2018-7600)(也称为Druppalgeddon2)中缝隙的恶意请求。请求中通报的有效负载测验考试通过发送不异缝隙的方法进行流传,同时试图使用多个硬编码根据连接到Redis数据库并通过SSH协议连接。最终目的是通过上述要领将加密货币挖掘恶意软件安置至处事器,并传染其他处事器以继续流传。这次打击行为中所操作的部分缝隙为常见方针,但发送的恶意软件倒是用Go(GoLang)语言编写。值得注意的是,Go是一种不常被用于创建恶意措施的新编程语言。
Go语言已有将近十年的历史,凡是被大大都开发者合法使用,因此使用GoLang进行恶意软件打击的勾当并不常见。2019年1月,一个早期的GoLang恶意软件样本被分析并颁布。
F5 Labs的研究人员捕获的这一样本与用Go编写的Zebrocy恶意软件变种和MalwareBytes分析的偷取措施差别。颠末初阶判断,该样本似乎来自一款新的恶意软件,而该恶意软件目前尚未被反病毒软件提供商收录,因为检测到这一恶意软件的反病毒软件将其归为一般恶意软件类型。
对准Linux处事器,恶意软件以七种流传方法
该新型GoLang恶意软件专门针对Linux 处事器、通过七种差此外方法流传:包孕四类Web应用措施(两种针对ThinkPHP, 一种针对Drupal, 一种针对Confluence)、SSH根据枚举、Redis数据库暗码枚举,以及测验考试使用已发明的SSH密钥连接其他计算机。由于目前安置加密挖掘软件的行为已相当遍及,所以其流传技术量级之大也成为一个明显的特征。
跟着F5研究人员对该恶意软件进行追本溯源,发明打击者使用了在线剪贴板pastebin网站来托管spearhead bash脚本,恶意软件已托管在一个被入侵的中国电子商务网站上。追查过程中研究人员发明,在剪切板和GitHub上的帐户于几天前创建,并克隆了一个基于Golang的缝隙扫描措施项目,这表白打击者仍在尝试中。而按照剪贴板和GitHhub上的用户名以及克隆项目揣度,研究员们怀疑此次打击可能是来自中国的黑客所为。
Pastebin上流传恶意软件的用户信息示例
尽管这一恶意软件样本并不是F5研究人员分析过的最庞大的类型,但它所具有的奇特性足以引起存眷。然而打击者测验考试使用量重于质的模式来探索一种进入系统的要领,却袒露了它的弗成熟。
GoLang恶意软件初度呈现是在2018年中期,并在2019年连续产生。由于Go 语言主要被开发者用于合法措施,凡是不会被反病毒软件收录,也正因如此,GoLang开始被恶意打击者用作编写恶意软件的语言,使其逐渐走向了“暗中”的一面, 致使Golang恶意软件开始呈此刻威胁场景中。
具有奇特性的威胁勾当和恶意软件只是F5 Labs不停检测的一部分威胁载体。获取详细技术细节可访谒F5 Labs网站博客。别的,作为F5旗下权威的安适研究机构,F5 Labs (https://www.f5.com/labs)致力于将应用威胁数据转化为可操作的安适防护信息,通过分析并分享安适威胁场景助益网络社区安适。