据微软称,新的活动正在进行中,并使用后门安装OpenSSH的修补版本来劫持目标设备。除了加密货币挖矿之外,该活动还涉及劫持SSH凭证、隐藏恶意SSH连接等。
微软研究人员发现了一种新的加密劫持活动,该活动利用自定义和开源工具来针对IoT(物联网)设备和基于Linux的系统进行加密挖矿(又称为加密货币挖矿)。
攻击者使用可以部署各种“工具和组件”(例如Rootkit和IRC机器人)的后门来窃取设备资源。该后门会安装OpenSSH的修补版本来劫持受影响的设备系统并安装加密货币挖矿程序。
完成此操作后,除了加密挖矿之外,攻击者还可以执行一系列活动,例如在网络中横向移动、劫持SSH凭据以及隐藏恶意SSH连接。
攻击者需要劫持SSH凭据,并为此寻找配置错误的Linux主机。这些主机被暴力强制以获得初始访问权限。当目标设备受到威胁时,第一步是禁用shell历史记录。
下一步是从远程服务器提取木马OpenSSH软件包“openssh-8.0p1.tgz”。它包含“良性OpenSSH源代码和其他恶意文件”,例如arm4I、arm5I、x86、i568、i686的后门二进制文件、shell脚本inst.sh以及包含shell脚本vars.sh 的存档,其中包含所有后门运行所需的文件。安装有效负载后,inst.sh脚本会运行与设备架构匹配的后门二进制文件。
该后门是使用Shell脚本编译器编译的Shell脚本。它允许威胁行为者分发有效负载并进行后利用攻击,例如窃取和发送设备信息,以及清除Apache、nginx、httpd和系统日志以隐藏其恶意活动并保持不被发现。
为了保留SSH访问权限,后门会修改系统授权密钥配置文件中所有用户的两个公钥。此外,该后门还可以安装logtamper开源实用程序,用于清除记录用户登录会话和系统事件数据的wtmp和utmp日志。
在这次活动中,正如微软威胁英特尔团队在其博客文章中所说,攻击者使用加密劫持来安装加密挖矿程序。在加密劫持中,计算机资源被非法耗尽以产生收入。几乎所有设备、工具、服务和IT基础设施(包括物联网)都容易受到加密劫持。在启动矿机之前,所有竞争的加密挖矿过程都会被消除。
此外,后门运行名为ZiggyStarTux的基于Kaiten恶意软件的DDoS客户端的修改版本,该客户端执行从攻击者的C2服务器收到的bash命令。C2通信是通过一个身份不明的东南亚金融机构的子域建立的,以隐藏恶意流量。
后门通过测试对虚拟文件系统/proc的访问来确定设备是否是蜜罐。如果无法访问,后门就会退出。如果它可以访问/proc,它就会提取设备数据,例如操作系统版本和网络配置等,并将其通过电子邮件发送到硬编码地址(dotsysadminprotonmailcom)或攻击者的地址。它可以编译/下载/安装的开源rootkit包括Reptile和Diamorphine,两者都可以在GitHub上找到。
微软敦促用户通过确保安全配置、使用强密码和定期更新固件来提高互联网设备的安全性。对于远程访问,应首选VPN,并且用户应始终使用最新版本的OpenSSH。
评论已关闭。