标签: 蠕虫

Cetus:针对 Docker daemons 的加密劫持蠕虫

摘要 自容器诞生以来,安全专家就将不安全的Docker daemons 称为主要威胁。我们最近还撰写了有关Graboid(第一个Docker密码劫持蠕虫和不安全的Docker daemons)的文章。我通过设置Docker daemons蜜罐进行了进一步的研究,以研究在野外寻找普通Docker daemons的情况,并了解由COVID-19导致的向云的转移是否增加了针对性云攻击的普及率和复杂性。 本文将详细介绍Cetus的发现,Cetus是针对Monero的一种新的和改进的Docker密码劫持蠕虫挖掘,可在我们创建的Docker daemons蜜罐中找到。 蜜罐 为了进行研究,我设置了受限的Docker daemons,并记录了5月份的所有流量。在这段时间里,我目睹了各种各样的攻击,从僵尸网络到蠕虫,一切都在进行,其中大多数是为了进行加密劫持,特别是对门罗币。 最常见的攻击之一引起了我的注意,因为它具有蠕虫的潜在特征。与其他攻击不同,蜜罐在这里受到来自许多不同的不安全Docker daemons实例的攻击。根据我的honeypot部署和其他有关容器安全性的研究项目,看到蠕虫针对不安全的Docker daemons的情况并不常见。我分析有效负载,并确定这是一个新的Docker蠕虫:恶意软件的每个实例都试图发现和感染本地网络和外部的其他Docker daemons实例。 Cetus如何运作     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1322/ 消息与封面来源:paloalto ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫

Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。 Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。   稿源:cnBeta,封面源自网络;

挖矿蠕虫 WannaMine:通过 NSA “永恒之蓝” 漏洞传播高级加密矿工

外媒 2 月1 日报道,安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫,其利用与 NSA 相关的 EternalBlue (“ 永恒之蓝 ” )漏洞进行传播。据研究人员测试,WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统(包括 64 位版本和 Windows Server 2003),并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响,比如由于如此高的 CPU 利用率,导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂,因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是:WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后,WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到,WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据,从而达到横向移动的目的,但如果不能够横向移动的话,WannaMine 将更依赖于 EternalBlue 的利用。 相关报告: <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。