Sysrv-Hello殭屍網絡
Sysrv-hello殭屍網絡是最近發現的殭屍網絡,它正在尋找易受攻擊的Linux和Windows企業服務器以添加到其加密挖礦從屬計算機中。受到威脅的受害者包括Jira,Oracle WebLogic,PHPUnit,Apache Solar,Confluence,JBoss,Laravel,Sonatype和Apache Struts。由於大部分加密挖掘殭屍網絡,Sysrv問候還部署了一個版本的XMRig礦工說劫機者被感染系統的硬件資源來生成Monero硬幣。
儘管是相對較新的威脅,但Sysrv-hello殭屍網絡已經進行了一些重要的更新和修改。最初,威脅具有模塊化的性質,具有獨立的挖掘和傳播(蠕蟲)組件。但是,最新的示例包含一個能夠執行這兩種功能的二進製文件。
初始折衷向量
Sysrv-hello利用自身傳播的漏洞也已升級。威脅的最新變體依賴六個特定漏洞來獲得對目標系統的初始訪問權限:
- Mongo Express RCE(CVE-2019-10758)
- XML-RPC(CVE-2017-11610)
- Saltstack RCE(CVE-2020-16846)
- Drupal Ajax RCE(CVE-2018-7600)
- ThinkPHP RCE(無CVE)
- XXL-JOB Unauth RCE(無CVE)
在服務器上立足後,Sysrv-hello殺死任何競爭的加密礦工(如果存在),啟動其自己的礦工,然後繼續傳播到受感染的網絡上。為了橫向移動,殭屍網絡從受感染的服務器收集私有SSH密鑰,並使用它們發起暴力攻擊。
Infosec研究人員設法識別出一種用於保存Sysrv-hello殭屍網絡生成的Monero硬幣的加密錢包之一。儘管存儲的總金額並沒有那麼可觀-略高於12 XMR(Monero),或約4000美元,但應注意的是,加密貨幣挖礦殭屍網絡通常使用多個這樣的錢包,因此黑客的總收益可能會大大提高。
