Nul
En form for cryptojacking malware har tilføjet muligheden for at deaktivere cloud-sikkerhed-softwaren til at hjælpe med at undgå afsløring og øge sin chance for ulovligt minedrift for cryptocurrency uden at blive opdaget.
Det er første gang, dette angreb teknik nogensinde har set, siger forskerne på vagtselskab Palo Alto Networks’ research division Enhed, 42 år, som har beskrevet den tekniske kapacitet af kampagnen.
Cryptocurrency minedrift malware er stadig en af de mest almindelige trusler til internet-tilsluttede maskiner-lige fra IoT-enheder til computere, hele vejen op til serverfarme.
Denne familie af Monero cryptomining malware-som ser ud til at være relateret til Xbash — mål offentlige cloud-infrastruktur, der kører på Linux servere, få administrative kontrol over værter og tvinge det til at fjerne security-produkter, på samme måde som en legitim admin ville.
Men det er ikke alle former for sikkerhedssoftware, at malware mål på denne måde: den søger ud af fem forskellige cloud security-produkter, som de Kinesiske virksomheder, Tencent og Alibi i, hvad der ser ud til at være specielt udvalgt målretning.
Malware er leveret, ved at udnytte kendte sårbarheder i Apache, Struts 2, Oracle WebLogic, og Adobe ColdFusion. Et eksempel på, hvordan dette fungerer, er, at angriberne kan udnytte Oracle WebLogic sårbarheden CVE-2017-10271 i Linux til at installere en bagdør på systemet og brug det til at hente crypojacking malware.
Såvel som at køre miner, malware kan også dræbe andre cryptojacking processer, der måske allerede kan være at udnytte mål-en fælles taktik, der anvendes af dem, der fordømmer cryptocurrency minedrift malware til at fjerne konkurrencen.
Men trumf for dette angreb er, hvordan det er i stand til at omgå detektion fra cloud security services ved at lukke dem ned. Den malware, der er specielt bygget til at ikke have nogen skadelig adfærd, når det først kommer på systemet. Og det undgår man mistanke om, fordi det følger procedurer, der er beskrevet på service udbyder hjemmesider til, hvordan du fjerner Cloud-Vært Sikkerhed produkt.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Forskere siger, at den kampagne, der bruger den samme slags Linux mønt minedrift malware som Rocke cyber kriminalitet gruppe-også kendt som Iron-som har været meget aktive i de seneste år. Forskere på Cisco Talos har tidligere henvist til den gruppe som ” mester i Monero minearbejdere, og har antydet, at operationen er Kinesisk-talende.
En af grundene til, Rocke er i stand til at blomstre, fordi nogle administratorer ikke at anvende programrettelser, som er udgivet for at imødegå kendte sårbarheder.
“De sårbarheder, for disse produkter er blevet lappet af leverandører, men Rocke gruppe tog fordel af det faktum, at nogle administratorer ikke havde indsat dem, patches,” Ryan Olson, vice president for threat intelligence i Palo Alto Networks’ Enhed 42 fortalte ZDNet.
“Denne udvikling indikerer, at angriberne, der er at gå på kompromis værter, der opererer i cloud-platforme, er nu forsøger at unddrage sig security-produkter, der er specifik til disse platforme,” tilføjede han.
Enhed 42 har detaljerede Indikatorer på Kompromis for malware i deres tekniske analyse af kampagnen-men en god måde at undgå infektion i første omgang er at sikre, at systemer er opdateret, og alle de nyeste patches er blevet anvendt.
LÆS MERE OM IT-KRIMINALITET
Dette cryptojacking minedrift malware foregiver at være en Flash-opdatering
Cryptojacking: hot nye hacker trick for nemme penge CNET
Cryptocurrency-mining malware: Hvorfor det er sådan en trussel, og hvor det kommer næste
Hvorfor cryptomining er den nye ransomware, og virksomheder skal forberede sig til det TechRepublic
Cryptojacking angreb bølge mod enterprise cloud-miljøer
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0