网站地图 | RSS订阅 老铁博客 - 上海SEO优化|上海网站建设|蜘蛛池出租|站群代搭建
你的位置:首页 » 推广营销 » 正文

F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加密货币

2019-7-15 13:24:39 | 作者:老铁SEO | 0个评论 | 人浏览

  2019年6月14日,F5研究人员检测到针对ThinkPHP(CVE-2019-9082和CVE未分配),Atlassian Confluence(CVE-2019-3396)和Drupal(CVE-2018-7600)(也称为Druppalgeddon2)中漏洞的恶意请求。请求中传递的有效负载尝试通过发送相同漏洞的方式进行传播,同时试图使用多个硬编码凭据连接到Redis数据库并通过SSH协议连接。最终目的是通过上述方法将加密货币挖掘恶意软件安装至服务器,并感染其他服务器以继续传播。此次攻击行为中所利用的部分漏洞为常见目标,但发送的恶意软件却是用Go(GoLang)语言编写。值得注意的是,Go是一种不常被用于创建恶意程序的新编程语言。

  Go语言已有将近十年的历史,通常被大多数开发者合法使用,因此使用GoLang进行恶意软件攻击的活动并不常见。2019年1月,一个早期的GoLang恶意软件样本被分析并发布。

  F5 Labs的研究人员捕获的这一样本与用Go编写的Zebrocy恶意软件变种和MalwareBytes分析的盗取程序不同。经过初步判断,该样本似乎来自一款新的恶意软件,而该恶意软件目前尚未被反病毒软件供应商收录,因为检测到这一恶意软件的反病毒软件将其归为一般恶意软件类型。

  该新型GoLang恶意软件专门针对Linux 服务器、通过七种不同的方式传播:包括四类Web应用程序(两种针对ThinkPHP, 一种针对Drupal, 一种针对Confluence)、SSH凭据枚举、Redis数据库密码枚举,以及尝试使用已发现的SSH密钥连接其他计算机。由于目前安装加密挖掘软件的行为已相当普遍,所以其传播技术量级之大也成为一个明显的特征。

  随着F5研究人员对该恶意软件进行追本溯源,发现攻击者使用了在线剪贴板pastebin网站来托管spearhead bash脚本,恶意软件已托管在一个被入侵的中国电子商务网站上。追查过程中研究人员发现,在剪切板和GitHub上的帐户于几天前创建,并克隆了一个基于Golang的漏洞扫描程序项目,这表明攻击者仍在实验中。而根据剪贴板和GitHhub上的用户名以及克隆项目推断,研究员们怀疑这次攻击可能是来自中国的黑客所为。

  尽管这一恶意软件样本并不是F5研究人员分析过的最复杂的类型,但它所具有的独特性足以引起关注。然而攻击者尝试使用量重于质的模式来探索一种进入系统的方法,却暴露了它的不成熟。

  GoLang恶意软件首次出现是在2018年中期,并在2019年持续发生。由于Go 语言主要被开发者用于合法程序,通常不会被反病毒软件收录,也正因如此,GoLang开始被恶意攻击者用作编写恶意软件的语言,使其逐渐走向了黑暗的一面, 致使Golang恶意软件开始出现在威胁场景中。

  具有独特性的威胁活动和恶意软件只是F5 Labs不断检测的一部分威胁载体。

  • 本文来自: 老铁博客,转载请保留出处!欢迎发表您的评论
  • 相关标签:发布软件  
  • 已有0位网友发表了一针见血的评论,你还等什么?

    必填

    选填

    记住我,下次回复时不用重新输入个人信息

    必填,不填不让过哦,嘻嘻。

    ◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

    刘永好:新希望集团决定再投90亿元 建9个新的养猪厂
    日媒披露日本官方文件:每70名日军需要1个慰安妇
    俄媒揭香港修例风波面具 指背后有“华盛顿身影”
    Aruze挑起增长“大梁”微软股价能否借势登高?
    湖南郴州发生4死2伤交通事故 肇事司机已被控制
    王石问刘永好赚了多少?刘永好:请你吃饭一点没问题
    第31届中国经济新闻奖揭晓
    刘永好:五新转型 今后三年每年将新增一万名员工
    北京延庆加快氢能交通设施建设为北京冬奥会提供保障
    兰大排查接触实验动物师生 兽研所请专家开讲座
    ,