網絡社會征信網

每周病毒預報 (2019年10月9日至2019年10月16日)

來源:國家計算機病毒應急處理中心 發布日期:2019-10-11 13:58:53

國家計算機病毒應急處理中心通過對互聯網的監測,發現攻擊者可以利用漏洞(漏洞編號:CVE-2018-1000861)在系統安裝Watchbog惡意軟件,Watchbog為攻擊者挖掘Monero加密貨幣。Watchbog惡意軟件安裝時會會檢查與其他加密貨幣挖掘者匹配的正在運行的進程。如果系統先前已配置為挖掘加密貨幣,則安裝腳本將使用kill命令終止其執行,該腳本使用touch命令確定其寫入文件系統上各個目錄的能力。它還檢查系統的體系結構,以確定它是在32位還是64位操作系統上執行,然后嘗試三次嘗試使用wget或curl 下載并安裝“kerberods”下載器。該腳本還會檢索包含Monero錢包ID和挖掘信息的Pastebin URL的內容。“kerberods”還可以從GitHub下載并安裝XMR-Stak Monero挖礦軟件。Watchbog惡意軟件使用SSH遠程管理接口進行橫向擴散。除了利用SSH進行橫向移動之外,Watchbog還嘗試利用Python腳本掃描主機子網上的開放Jenkins和Redis端口。如果腳本發現任何易受攻擊的服務器,會嘗試使用curl或wget命令從Pastebin檢索有效的載荷并在目標上執行。該腳本以CVE-2018-1000861為目標,這是Staple Web框架中的漏洞,適用于處理HTTP請求的Jenkins 2.138.1或2.145版本。Watchbog惡意軟件使用定時任務功能每小時獲取被攻擊服務器的新信息,還能從github上下載并安裝加密貨幣挖掘器。

Watchbog惡意軟件的主要攻擊目標是存在CVE-2018-1000861漏洞攻擊且未修補的Web應用程序,可以長期對受攻擊的服務器進行訪問并橫向擴散。建議國內用戶采取以下措施予以防范,一是及時修復系統存在的漏洞;二是內部使用服務不應暴露于互聯網。使用適當的ACL或其他身份驗證技術僅允許來自可信用戶的訪問;三是保持安全軟件開啟,并更新為最新版本。

專題活動

2019精准三中三不改资料论云