有研究顯示，近日一起正在進(jìn)行的加密貨幣挖掘活動(dòng)已升級(jí)了武器庫(kù)，同時(shí)改進(jìn)了規(guī)避防御的策略，從而使威脅分子能夠神不知鬼不覺(jué)地掩藏入侵行蹤，不被人注意。其最初的攻擊過(guò)程為：一旦運(yùn)行一個(gè)名為“ alpine:latest ”的普通鏡像，就執(zhí)行一個(gè)惡意命令，該操作導(dǎo)致名為“ autom.sh ”的 shell 腳本被下載到設(shè)備上。

據(jù) DevSecOps 和云安全公司 Aqua Security 的研究人員稱，過(guò)去三年，他們一直在跟蹤分析這一加密貨幣挖掘活動(dòng)，僅在 2021 年第三季度就發(fā)現(xiàn) 125 起攻擊，這表明這類攻擊并沒(méi)有放緩的勢(shì)頭。

雖然這起活動(dòng)的早期階段沒(méi)有采用任何特殊的手法來(lái)隱藏挖掘活動(dòng)，但后來(lái)的活動(dòng)表明其開(kāi)發(fā)人員采取了極端措施，設(shè)法使自己不被發(fā)現(xiàn)和檢查出來(lái)，主要的措施是能夠禁用安全機(jī)制，并能夠下載經(jīng)過(guò)混淆處理的挖掘 shell 腳本。攻擊者對(duì)該腳本用 Base64 編碼了五次，以繞過(guò)安全工具的檢測(cè)。

研究人員表示：“ Autom 加密貨幣挖掘惡意軟件攻擊活動(dòng)表明，如今攻擊者正變得越來(lái)越老練，不斷改進(jìn)其攻擊手法以及增強(qiáng)被安全解決方案檢測(cè)到的能力。”為了防范這些威脅，建議組織密切關(guān)注可疑的容器活動(dòng)、執(zhí)行動(dòng)態(tài)鏡像分析，并定期掃描環(huán)境以查找錯(cuò)誤不當(dāng)問(wèn)題。

圖1 加密貨幣挖掘活動(dòng)

據(jù)了解，多伙不法分子(比如 Kinsing )經(jīng)常實(shí)施這種惡意軟件活動(dòng)以劫持計(jì)算機(jī)，從而挖掘加密貨幣。他們不斷掃描互聯(lián)網(wǎng)，查找配置不當(dāng)?shù)?Docker 服務(wù)器，進(jìn)而闖入未受保護(hù)的主機(jī)，并植入一種以前未公開(kāi)記錄的加密貨幣挖礦惡意軟件( miner )。

圖2 加密貨幣挖掘活動(dòng)

除此之外，一個(gè)名為 TeamTNT 的黑客組織被發(fā)現(xiàn)在攻擊未采取安全措施的 Redis 數(shù)據(jù)庫(kù)服務(wù)器、阿里巴巴彈性計(jì)算服務(wù)( ECS )實(shí)例、暴露的 Docker API 以及易受攻擊的 Kubernetes 集群，以便在目標(biāo)主機(jī)上以 root 權(quán)限執(zhí)行惡意代碼，并且部署加密貨幣挖掘有效載荷和竊取登錄信息的惡意程序。此外，受感染的 Docker Hub 帳戶也被用來(lái)托管惡意鏡像，然后這些惡意鏡像用來(lái)分發(fā)加密貨幣挖礦惡意程序。

Sophos 公司高級(jí)威脅研究員 Sean Gallagher 在分析 Tor2Mine 挖掘活動(dòng)的文章中特別指出：“挖礦惡意程序是網(wǎng)絡(luò)犯罪分子將漏洞變?yōu)閿?shù)字現(xiàn)金的一種低風(fēng)險(xiǎn)方式，其面臨的較大風(fēng)險(xiǎn)是與之競(jìng)爭(zhēng)的其他挖礦惡意程序發(fā)現(xiàn)同樣易受攻擊的服務(wù)器。” Tor2Mine 挖掘活動(dòng)使用 PowerShell 腳本來(lái)禁用惡意軟件保護(hù)機(jī)制、執(zhí)行挖礦惡意程序有效載荷，并采集 Windows 登錄信息。

近期， Log4j 日志庫(kù)中的安全漏洞以及 Atlassian Confluence 、 F5 BIG-IP 、 VMware vCenter 和 Oracle WebLogic Servers 中新發(fā)現(xiàn)的漏洞被人濫用，以接管機(jī)器，從而挖掘加密貨幣，這種詭計(jì)名為加密貨幣劫持。在早些時(shí)候，網(wǎng)絡(luò)附加存儲(chǔ)( NAS )設(shè)備制造商 QNAP 警告稱，針對(duì)其設(shè)備的加密貨幣挖掘惡意軟件可能占用 CPU 總使用量的50%左右。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文