新型惡意軟件可卸載騰訊和阿里云安全產品

Palo Alto Networks的Unit42周四宣布，他們發現了一個惡意軟件家族，其獨特之處在于——可通過卸載云安全產品，獲得目標系統的管理員權限。惡意活動與針對Linux服務器的加密幣挖掘惡意軟件相關聯。 研究人員發現的惡意軟件樣本不會危及、終止或攻擊相關的安全和監控產品，它們只是簡單地從受損的Linux服務器上卸載它們。 “我們經過分析發現,這些惡意軟件不妥協這些安全產品:相反,惡意軟件首先獲得對主機的完全管理控制,然后濫用權限卸載這些產品。 研究人員表示，具體來說，這些惡意軟件樣本是為了卸載騰訊云和阿里巴巴云開發的產品。卸載產品的重要安全功能有：基于機器學習的木馬檢測和刪除、日志活動審計和漏洞管理等。 Unit 42主要負責人告訴媒體：“Palo Alto Networks Unit 42已與騰訊云和阿里巴巴云合作，以解決惡意軟件逃逸問題及其C2基礎設施問題，” 攻擊過程 Rocke威脅集團正在積極使用新的惡意軟件。Rocke是一個“日漸強大”的中國威脅性黑客組織，于2018年7月首次由思科Talos公開指出，利用各種Git存儲庫和挖掘門羅幣的惡意軟件感染易受攻擊的系統。 為了將惡意軟件傳播給受害者設備，Rocke小組利用Apache Struts 2，Oracle WebLogic和Adobe ColdFusion中的漏洞。一旦惡意軟件被下載，它就會建立一個命令和控制服務器連接，并在系統上下載一個名為“a7”的shell腳本。 隨后該shell腳本開始執行一系列惡意活動，如殺死系統上的其他加密進程，下載和運行加密幣挖掘器，以及通過使用開源工具“libprocesshider”在Linux隱藏其惡意操作。 在這個階段，最新的惡意軟件樣本展示了一項功能，該功能部署了一種前所未見的技巧:它們可以卸載云工作負載保護平臺，這是一種針對公共云基礎設施的基于代理的安全保護解決方案。其中包括阿里巴巴威脅檢測服務代理、阿里巴巴云監測代理、阿里巴巴云助手代理;以及騰訊主機安全代理和騰訊云監控代理。騰訊云和阿里巴巴云官方網站提供文檔，指導用戶卸載云安全產品。研究人員表示，Rocke group使用的新惡意軟件樣本似乎遵循了這些官方卸載程序。 惡意軟件起源 至于惡意軟件本身，Unit42的研究人員也懷疑這個家族似乎是由Iron網絡犯罪集團開發的(因為Iron和Rocke的惡意軟件的有效載荷相似，該惡意軟件的攻擊對象也是類似的基礎設施)。 該惡意軟件還與Xbash惡意軟件有關，這是研究人員去年9月披露的一個復雜的軟件家族。Xbash結合數據破壞性勒索軟件和惡意加密技術，對Windows和Linux系統造成了嚴重破壞。然而，在卸載云安全產品方面其威力再上一層樓、 最后，研究人員在報告中表示:“Rocke 集團使用的惡意軟件變種表明，基于代理的云安全解決方案可能不足以阻止針對公共云基礎設施的惡意軟件攻擊。我們相信這種獨特的逃避行為將成為針對公共云基礎設施的惡意軟件的新趨勢。”