Rocke组织恶意软件利用云安全产品来绕过检测

Unit 42研究人员近期发现并分析了Rocke组织会使用的Linux加密货币挖矿恶意软件所使用的新样本。该恶意软件家族是Iron网络犯罪组织开发的,与Xbash恶意软件也有联系。分析过程中,研究人员…

第43模块的科学研究工作人员近期发觉并剖析了Rocke的Linux数字货币发掘恶意程序应用的新样版。

该恶意程序系列产品由Iron Cybercrime开发设计,而且还与Xbash恶意程序关联。

在剖析全过程中,科学研究工作人员发觉Rocke机构应用的样版应用了某些编码来卸载掉安裝在Linux网络服务器上的几种不一样的云安全和监控器商品。科学研究工作人员发觉,进攻不容易立即入侵云网络安全产品。反过来,她们最先完全控制服务器,随后乱用管理员权限卸载掉这种网络安全产品,如合理合法管理人员。这种网络安全产品由腾讯云服务器和阿里巴巴网云开发,是科学研究工作人员初次发觉恶意程序系列产品能够删掉云网络安全产品。 安全性单脉冲:https://www.com/archives/95843.html 技术细节 Rocke机构应用的数字货币开采机 在2018年年6月末,思科Talos科学研究工作人员剖析了威协机构Rocke。该机构的终极目标是在损伤的Linux设备上开展Monero发掘。 以便向受害人以及受害人散播恶意程序,Rocke机构运用了Apache Struts

2,Oracle WebLogic和Adobe ColdFusion中的好几个系统漏洞。如图所示1如图,以便运用Linux中的Oracle WebLogic系统漏洞CVE-2018-10271系统漏洞,被黑客攻击的Linux受害人设备必须免费下载侧门文档0720.bin,随后开启1个shell。

应用CVE-2018-10271 创建C2联接后,Rocke机构应用的恶意程序会在被害电子计算机上免费下载名叫a7的shell脚本制作。 A7的个人行为包含: 住户根据cronjobs 杀掉别的数字货币发掘步骤 加上iptables标准以阻拦别的数字货币发掘恶意程序 卸载掉应用场景代理商的云网络安全产品 从blog [。] sydwzl [。] cn免费下载并运作UPX装包的数字货币挖机 应用开源系统专用工具libprocesshider和LD_PRELOAD掩藏Linux ps指令钟表中的系统进程 改动故意文档的时间和時间 安全性单脉冲:https://www.com/archives/95843.html 云负荷维护服务平台 云工作中负荷维护服务平台 (CWPP)是应用场景代理商的以负荷为管理中心的安全防范措施。以便缓解恶意程序侵入在公共性云基础架构中的危害,云服务供应商已经CWPP开发设计为服务器安全经营和管理方法商品。比如,腾讯云服务器出示安全性维护服务项目,数不清镜像系统。实际作用如图所示2如图。

2.腾讯云服务器代管安全性的关键作用 阿里服务器还出示Knights等云网络安全产品,具备恶意程序扫描仪和删掉,系统漏洞管理方法,日志分析和应用场景互联网大数据的威协剖析等作用。 第三方平台网络信息安全企业还出示CWPP,比如趋势科技,赛门铁克和微软公司,他们为公共性云基础架构出示云网络安全产品。

安全性单脉冲:https://www.com/archives/95843.html 旁路 以便没有响应应用场景代理商的CWPP,Rocke机构应用的恶意程序开发设计出了在故意个人行为出现以前绕开检验的工作能力。具体而言,恶意程序从阿里服务器和腾讯云服务器中卸载掉了云网络安全产品。 Rocke机构应用的初期版本号的恶意程序仅仅尝试毁坏腾讯云服务器监控器步骤,如图所示3如图。

恶意程序杀掉腾讯云服务器监控器步骤 观念到杀掉云监控服务项目不能绕开应用场景代理商的云网络安全产品的检验,恶意程序再次开发设计更最好的办法绕开检验,杀掉好几个应用场景代理商的云安全保障。

腾讯云服务器和阿里服务器的官网出示免费下载云网络安全产品的文本文档。免费下载阿里服务器威协测试服务的文本文档如图所示4如图:

11.免费下载阿里服务器灾难威协测试服务官方网手册 卸载掉腾讯云服务器服务器安全性的文本文档如图所示5如图。

4.卸载掉腾讯云服务器代管网络安全产品的官方网手册 Rocke机构应用的恶意程序遵照阿里服务器和腾讯云服务器出示的卸载掉流程。密匙卸载掉作用如图所示6如图:

6.恶意程序旁路检验的关键作用 此作用能够卸载掉下列服务项目: 阿里服务器威协测试服务代理商 阿里巴巴云监控代理商 阿里服务器小助手代理商 腾迅服务器安全性代理商 腾讯云服务器监控器代理商 卸载掉应用场景代理商的云安全和监控器商品后,恶意程序刚开始显示信息故意个人行为。科学研究工作人员觉得,这类进攻公共性云基础设施建设的恶意程序将变成这种趋势。

安全性单脉冲:https://www.com/archives/95843.html 依据 公共性云基础架构是网络犯罪机构的关键总体目标之四。观念到目前的云监控和网络安全产品将会会检验到恶意程序侵入,恶意程序开发者刚开始建立新的旁路技术性来绕开云网络安全产品的检验。 Rocke机构应用的恶意程序变体证实,应用场景代理商的云安全维护计划方案将会不能维护公共性云基础架构免遭该类旁路技术性的应用。

https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/ 安全性单脉冲:https://www.com/archives/95843.html