加密采礦團伙幫僵尸網絡,將感染主機擴大至30,000臺
網絡安全一直都是我們關注的一方面,現在的網絡攻擊在不斷的發展,并且新型的網絡攻擊技術也在不斷的出現。我們所了解到的網絡攻擊一般都是垃圾郵件、勒索軟件這些,那么這些是怎么出現的呢?其實現在我們所說的惡意軟件、垃圾郵件、勒索軟件等這些,主要的來源就是僵尸網絡。
僵尸網絡就是指通過一種或是多種傳播的手段,讓主機感染上bot程序病毒,也就是我們所說的僵尸病毒,從而在網絡攻擊者與被感染主機之間形成一對多的網絡控制。網絡攻擊者可以通過多種途徑將僵尸網絡感染到大量的主機上,一旦主機被感染,那么感染的主機就會接收網絡攻擊者的指令,進而組成一個僵尸網絡。
近期,SentinelOne的安全研究人員,就發現了名為“8220 Gang”的加密采礦團伙,將云僵尸網絡擴大至全球的30000臺主機。據了解,該團伙主要就是專注于感染主機,并且還會通過知道的漏洞以及暴力攻擊的手段來進行加密貨幣礦工活動。這次的事件中,該團伙主要就是通過利用云應用程序和Linux的漏洞,將云僵尸網絡進行傳播的。經過網絡安全員的研究,可以發現,這個組織所使用的攻擊技術并不是很高,但是對經濟的目標性強,他們還會通過Redis、Docker、Confluence等被公開的漏洞版本,對GCP、Azure等主機進行感染。
我們可以知道感染腳本是僵尸網絡進行運行的主要代碼,而感染腳本的核心組件就是bot ,它所執行的操作列表如下所示:
1、海嘯 IRC 僵尸網絡惡意軟件樣本連接和驗證。
2、被攻擊者的主機準備和清理,其中包括刪除一些常見的云安全工具。
3、IRC 僵尸網絡惡意軟件和礦工下載/配置和修復持久性。
4、所在地的 SSH 密鑰收集、橫向傳播和連通性測試。
5、具備橫向傳播能力的內部網絡 SSH 掃描器。
6、PwnRig 加密貨幣礦工執行。
該團伙還會利用互聯網的可訪問性,來進行識別和選擇受害者。但是可以知道的是,感染腳本的最新版本是通過阻止列表來進行避免感染待機主機的。僵尸網絡的危害性是比較大的,我們在進行上網瀏覽時,也需要注意辨別,避免被僵尸網絡感染上。通常來說我們可以接觸到的僵尸網絡,一般是吸引人的小游戲,引誘我們點擊下載,下載的時一般的殺毒軟件還無法進行檢測出來。所以,我們需要學習僵尸網絡的一些知識,來提高僵尸網絡的警惕。
來源:HK酋長
原文鏈接:https://www.hake.cc/page/article/4385.html
