近日,腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。攻击者通过暴力破解使用SSH服务的机器来扩大僵尸网络的规模,最后通过加密货币挖矿来盈利。值得注意的是,遭爆破攻击后,攻击者将获得对目标服务器的完全控制权,危害极大。
根据腾讯安全威胁情报中心数据显示,该僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。腾讯安全专家建议政企用户提高警惕,以防中招。
亡命徒(Outlaw)僵尸网络被腾讯安全高级威胁检测系统锁定
事实上,这已经不是亡命徒(Outlaw)第一次发动攻击了。早在2018年,亡命徒(Outlaw)僵尸网络便被检测发现可通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。而此次攻击传播的母本文件,经腾讯安全专家深入溯源分析后发现可能为亡命徒(Outlaw)僵尸网络的第3个版本。
据安全专家介绍,亡命徒(Outlaw)通过SSH爆破攻击,访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件,然后通过执行远程命名来下载和执行恶意程序。爆破成功后,Outlaw将删除旧版本的恶意程序和目录,然后解压获取到的最新版本恶意程序并执行。需要注意的是,Outlaw能够执行多个后门命令,包括文件下载、DDoS攻击,以及找到大量Linux平台竞品挖矿木马并进行清除。
亡命徒(Outlaw)僵尸网络之前通过利用Shellshock漏洞进行分发,因此被命名为“ Shellbot”。Shellbot利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞,大多数Linux发行版通常会使用到该功能,攻击者可以在这些受影响的Linux服务器上远程执行代码。
目前,Outlaw僵尸网络的影响仍在扩散,对企业服务器危害严重。对此,腾讯安全专家建议企业Linux服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可通过腾讯安全系列产品采取相应解决措施。
作为一家拥有20多年安全防护经验以及顶尖安全研究团队的安全厂商,腾讯安全旗下的安全产品矩阵可为检测、防御亡命徒(Outlaw)僵尸网络的攻击活动提供全方位防护。其中,腾讯iOA可查杀亡命徒(Outlaw)僵尸网络释放的后门木马、挖矿木马程序;高级威胁检测系统支持通过协议特征检测亡命徒(Outlaw)僵尸网络的挖矿行为、检测SSH弱口令爆破攻击行为等;主机安全支持检测云主机是否存在SSH弱口令,检测外部针对云主机的SSH弱口令爆破行为;网络资产风险监测系统支持监测全网资产是否存在SSH弱口令,检测全网资产是否受Shellshock漏洞CVE-2014-7169(UCS Manager相关)影响等,保障企业用户服务器安全,护航企业发展。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
