Nul
Een vorm van cryptojacking malware heeft de mogelijkheid is toegevoegd voor het uitschakelen van cloud security software om te helpen bij het vermijden van detectie en verhogen de kans van de illegale mijnbouw voor cryptocurrency zonder ontdekt te worden.
Het is de eerste keer dat deze aanval techniek ooit heeft gezien, aldus de onderzoekers van beveiligingsbedrijf Palo Alto Networks’ afdeling research Unit 42 die hebben de technische mogelijkheden van de campagne.
Cryptocurrency mijnbouw malware blijft een van de meest voorkomende bedreigingen van het internet aangesloten machines, variërend van de IoT-apparaten, computers, helemaal up-to-server farms.
Deze bijzondere familie van Monero cryptomining malware — die gerelateerd blijkt aan Xbash — doelstellingen public cloud-infrastructuur draait op Linux servers, het verkrijgen van het beheer over de hosts en dwingen het te verwijderen security producten op dezelfde manier als een legitieme admin zou worden.
Maar het is niet alle vormen van beveiliging van software die de malware richt zich op deze manier: het zoekt vijf verschillende cloud security producten door Chinese bedrijven Tencent en Alibaba in wat lijkt te zijn van speciaal geselecteerde targeting.
De malware wordt geleverd door het benutten van bekende kwetsbaarheden in Apache Struts 2, Oracle WebLogic, en Adobe ColdFusion. Een voorbeeld van hoe dit werkt is dat aanvallers kunnen misbruiken Oracle WebLogic kwetsbaarheid CVE-2017-10271 in Linux te installeren van een backdoor op het systeem en gebruiken voor het downloaden van crypojacking malware.
Evenals het draaien van de mijnwerker, de malware kan ook doden alle andere cryptojacking processen die al het benutten van de doel — een gemeenschappelijke tactiek gebruikt door degenen die de implementatie van cryptocurrency mijnbouw malware uit te roeien van de concurrentie.
Maar de grote troef voor deze aanval is hoe het is in staat zich te onttrekken aan de detectie van cloud security services door het sluiten ze af. De malware is speciaal gebouwd om niet vertonen geen kwaadaardige gedrag wanneer het voor het eerst aankomt op het systeem. En het voorkomt vermoeden, want het volgt de procedures op de service provider is websites te verwijderen Cloud Host Security product.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Onderzoekers zeggen dat de campagne maakt gebruik van dezelfde soort Linux munt mijnbouw malware als de Rocke cyber crime groep-ook bekend als Ijzer — die is zeer actief geweest in de afgelopen jaren. Onderzoekers van Cisco Talos heb al eerder verwezen naar de groep als ‘de kampioen van Monero mijnwerkers en hebben gesuggereerd dat de operatie is Chinees-sprekende.
Een van de redenen Rocke is staat te bloeien is omdat sommige beheerders zijn niet toepassen van patches die zijn uitgebracht tegen bekende beveiligingsproblemen.
“De kwetsbaarheden voor deze producten zijn hersteld door de leveranciers, maar de Rocke groep maakte gebruik van het feit dat sommige beheerders niet had ingezet die patches,” Ryan Olson, vice-president voor de intelligentie van de dreiging in Palo Alto Networks’ Unit 42 vertelde ZDNet.
“Deze evolutie geeft aan dat aanvallers die afbreuk te doen hosts actief in cloud-platforms zijn nu probeert te onttrekken aan de veiligheid van producten die specifiek zijn voor die platforms,” voegde hij eraan toe.
Unit 42 heeft gedetailleerde Indicatoren van het Compromis voor de malware in hun technische analyse van de campagne, maar een goede manier om een infectie te voorkomen in de eerste plaats is om te zorgen dat het systeem up-to-date en de nieuwste patches zijn toegepast.
LEES MEER OVER CYBER CRIME
Dit cryptojacking mijnbouw malware doet zich voor als een Flash-update
Cryptojacking: De hot nieuwe hacker truc om gemakkelijk geld CNET
Cryptocurrency-mijnbouw malware: Waarom is een dergelijke dreiging en waar het gaat naast
Waarom cryptomining is de nieuwe ransomware, en moeten bedrijven zich voor te bereiden op het TechRepublic
Cryptojacking aanvallen surge tegen enterprise cloud-omgevingen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0