加密 WatchDog 僵尸網絡針對 Windows 和 Linux 服務器

Palo Alto Networks的安全研究人員發現了一個針對Windows和Linux系統的，名為WatchDog的加密劫持僵尸網絡。

WatchDog是安全專家發現的最大，持續時間最長的Monero加密劫持操作之一，其名稱來自名為watchdogd的 Linux daemon 的名稱 。WatchDog僵尸網絡至少自2019年1月27日以來一直處于活動狀態，并且已經開采了至少209個Monero（XMR），價值約32,056美元。

Palo Alto專家確定，至少有476個系統受到僵尸網絡的攻擊，其中主要是Windows和NIX云實例，它們參與了采礦作業。

僵尸網絡是用Go編程語言編寫的，它是熟練的編碼人員的工作。

該僵尸程序使用33種不同的漏洞利用程序來針對過時的企業應用程序，以利用32個漏洞。該漫游器使用的漏洞利用列表下方：

• CCTV exploit

  • 目前尚不知道目標是CCTV設備，還是有另一個綽號“ cctv”代表。

• Drupal

  • 版本7和8。

• Elasticsearch

  • CVE-2015-1427（Elasticsearch沙箱規避– 1.3.8之前的版本和1.4.3之前的1.4.x）
  • CVE-2014-3120（1.2之前的Elasticsearch）

• Apache Hadoop

• PowerShell

  • 編碼的命令行操作。

• Redis

• ThinkPHP

  • CVE-2018-1273，1.13-1.13.10之前的版本，2.0-2.0.5

• SQL服務器

• ThinkPHP

  • 版本5.x，5.10、5.0.23

• Oracle WebLogic服務器

  • CVE-2017-10271 –版本10.3.6.0.0、12.1.3.0.0、12.2.1.1.0和12.2.1.2.0）

通過分析config.json文件，專家可以識別三個XMR錢包地址：

• 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR
• 82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4
• 87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv

上面的XMR錢包地址至少與三個公共采礦池和一個私人采礦池一起使用，以處理采礦作業。

WatchDog礦工操作的Maltego圖表（Palo Alto Networks）

“很明顯，WatchDog的操作員是熟練的編碼人員，在采礦作業方面相對缺乏關注。盡管當前沒有跡象表明存在其他危害云的活動（即捕獲云平臺IAM憑據，訪問ID或密鑰），但可能會進一步損害云帳戶。由于在植入密碼劫持軟件期間獲得了根和管理訪問權，這些參與者很可能在他們已經受到破壞的云系統上找到與IAM相關的信息。” Palo Alto總結說。