加QQ81758415
快捷导航

Linux服务器遭遇门罗币挖矿 黑客用linux网络可视化工具漏洞获利7万多美元

2018-3-28 08:00| 发布者: xlbck| 查看: 19| 评论: 0|原作者: xlbck

摘要: 黑客利用Cacti的网络可视化工具Network Weathermap插件中的漏洞攻击Linux服务器,在趋势获取数据中,我国内地和台湾地区合计受感染的linux服务器占20%,

趋势科技称linux服务器正遭遇 门罗币 挖矿, 网络犯罪 团伙利用Cacti的网络可视化工具Network Weathermap插件中的CVE-2013-2618漏洞实施攻击(这是个5年前的 Nday漏洞 ),并在Linux服务器上安装Monero 门罗币挖矿软件 ,非法获利了近75,000美元。在趋势获取数据中,我国内地和台湾地区合计受感染的linux服务器占20%,文末附 IoC

推荐阅读:

Network Weathermap是什么

Network Weathermap是一个开放源代码的网络可视化工具,通过采取数据以地图形式概述及呈现你的网络活动。

https://network-weathermap.com/

开源网络监视和图形工具漏洞CVE-2013-2618

根据趋势科技的说法,黑客的这个攻击利用了Cacti “Network Weathermap”插件中的一个已有5年历史的漏洞,这一活动与先前使用 JenkinsMiner 恶意软件的加密货币挖掘活动有关联。在上一个针对Linux服务器的活动中,黑客利用的是Cacti  插件中的CVE-2013-2618漏洞,该漏洞是一个开源网络监视和图形工具。趋势科技发表的分析中这样解释

“该活动攻击者正在利用  Cacti的Network Weathermap插件中的一个日期漏洞CVE-2013-2618,系统管理员使用该漏洞可视化网络活动。

至于他们为什么要利用旧的安全漏洞:从2014年6月起,Network Weathermap目前只有 两个公开报告的漏洞。这些攻击者可能不仅利用了漏洞,也是利用了开源工具的组织中出现的补丁滞后 (小编,这就是 Nday漏洞

https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-distributed-via-php-weathermap-vulnerability-targets-linux-servers/

攻击者利用该漏洞可以在系统中执行任意代码, 如此一来,黑客只需下载并安装一个合法的Monero门罗币挖矿软件( 2018年1月28日发布的dada.x86_64 ,早期命名为  XIG  或  nkrb)。XMRig的定制版本,该软件支持32位和64位Windows和Linux操作系统。

黑客修改了本地cron计划任务

为了获得持久性,黑客修改了本地cron计划任务,每隔三分钟触发一次“watchd0g”Bash脚本,脚本检查Monero门罗币挖矿软件否继续活动,并在发生故障时重新启动它。

“代码写在 /etc/rc.local,这意味着每次系统重启时,watchd0g.sh都会被执行。修改/ etc / crontab导致watchd0g.sh每三分钟运行一次。然后它将Linux内核参数vm.nr_hugepages修改为用于挖掘Monero(XMR) 门罗币 的推荐值。它还确保watchd0g.sh进程运行或重新下载并在文件终止时执行。“

研究人员分析了五个恶意软件样本,这些软件使得他们有唯一的两个与发送矿池支付的Monero门罗币钱包相匹配的登录用户名。

我国内地和台湾地区合计受感染的linux服务器占20%

据趋势科技称,黑客制造了大约320个XMR(大约75,000美元),大部分Linux服务器位于日本(12%),我国内地(10%),台湾地区(10%)和美国(9%)。同时趋势科技建议保留来自Cacti的环境数据的内部信息,并使用最新的修补程序更新系统。趋势科技总结道

“虽然这可以让系统或网络管理员方便地监控他们的环境(例如仅使用浏览器书签),但攻击者也会这么干。”

IoC

Related Hashes:

SHA256 Description
4a70da8ad6432d7aa639e6c5
e0c03958eebb3728ef89e74c
028807dd5d68e2b4
Bourne-Again shell script ASCII text executable
0adadc3799d06b35465107f9
8c07bd7eef5cb842b2cf09eba
eaa3773c1f02343
ELF 64-bit LSB executable x86-64 version 1 (GNU/Linux)
dynamically linked interpreter /lib64/ld-linux-x86-64.so.2 for
GNU/Linux 2.6.32
BuildID[sha1]=7b9059fbf5f223af2bf1d
83251d640e0f60bbe00 stripped
d814bf38f5cf7a58c3469d530
d83106c4fc7653b6be079fc2a
6f73a36b1b35c6
ELF 64-bit LSB executable x86-64 version 1 (GNU/Linux)
dynamically linked interpreter /lib64/ld-linux-x86-64.so.2 for
GNU/Linux 2.6.32
BuildID[sha1]=5722b052bfd047b57ec37
10dd948bfc9ee7d7316 stripped
7f30ea52b09d6d9298f4f30b8
045b77c2e422aeeb84541bb5
83118be2425d335
ELF 64-bit LSB executable x86-64 version 1 (GNU/Linux) dynamically linked interpreter
/lib64/ld-linux-x86-64.so.2 for GNU/Linux 2.6.32
BuildID[sha1]=9bc00ee0d5261d8bb29
b753b8436a1c54bd19c94 stripped
690aea53dae908c9afa933d6
0f467a17ec5f72463988eb5af
5956c6cb301455b
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped
1155fae112da3072d116f39e9
0f6af5430f44f78638db3f43a6
2a9037baa8333
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped
2c7b1707564fb4b228558526
163249a059cf5e90a6e946be
152089f0b69e4025
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped
48cf0f374bc3add6e3f73f6db4
66f9b62556b49a9f7abbcce06
8ea6fb79baa04
ELF 64-bit LSB executable x86-64 version 1 (SYSV)
dynamically linked interpreter /lib64/ld-linux-x86-
64.so.2 for GNU/Linux 2.6.18 stripped


IP Addresses and URLs related to the malicious/modified XMRig Miner:

  • 222[.]184[.]79[.]11
  • bbc[.]servehalflife[.]com
  • 190[.]60[.]206[.]11
  • 182[.]18[.]8[.]69
  • jbos[.]7766[.]org
  • 115[.]231[.]218[.]38

鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )