國家計(jì)算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測�,發(fā)現(xiàn)攻擊者可以利用漏洞(漏洞編號(hào):CVE-2018-1000861)在系統(tǒng)安裝Watchbog惡意軟件���,Watchbog為攻擊者挖掘Monero加密貨幣����。Watchbog惡意軟件安裝時(shí)會(huì)會(huì)檢查與其他加密貨幣挖掘者匹配的正在運(yùn)行的進(jìn)程。如果系統(tǒng)先前已配置為挖掘加密貨幣��,則安裝腳本將使用kill命令終止其執(zhí)行�,該腳本使用touch命令確定其寫入文件系統(tǒng)上各個(gè)目錄的能力�。它還檢查系統(tǒng)的體系結(jié)構(gòu),以確定它是在32位還是64位操作系統(tǒng)上執(zhí)行����,然后嘗試三次嘗試使用wget或curl 下載并安裝“kerberods”下載器。該腳本還會(huì)檢索包含Monero錢包ID和挖掘信息的Pastebin URL的內(nèi)容���?����!発erberods”還可以從GitHub下載并安裝XMR-Stak Monero挖礦軟件����。Watchbog惡意軟件使用SSH遠(yuǎn)程管理接口進(jìn)行橫向擴(kuò)散���。除了利用SSH進(jìn)行橫向移動(dòng)之外�,Watchbog還嘗試?yán)肞ython腳本掃描主機(jī)子網(wǎng)上的開放Jenkins和Redis端口����。如果腳本發(fā)現(xiàn)任何易受攻擊的服務(wù)器�����,會(huì)嘗試使用curl或wget命令從Pastebin檢索有效的載荷并在目標(biāo)上執(zhí)行�����。該腳本以CVE-2018-1000861為目標(biāo)��,這是Staple Web框架中的漏洞����,適用于處理HTTP請求的Jenkins 2.138.1或2.145版本��。Watchbog惡意軟件使用定時(shí)任務(wù)功能每小時(shí)獲取被攻擊服務(wù)器的新信息���,還能從github上下載并安裝加密貨幣挖掘器�����。
Watchbog惡意軟件的主要攻擊目標(biāo)是存在CVE-2018-1000861漏洞攻擊且未修補(bǔ)的Web應(yīng)用程序���,可以長期對受攻擊的服務(wù)器進(jìn)行訪問并橫向擴(kuò)散。建議國內(nèi)用戶采取以下措施予以防范,一是及時(shí)修復(fù)系統(tǒng)存在的漏洞���;二是內(nèi)部使用服務(wù)不應(yīng)暴露于互聯(lián)網(wǎng)���。使用適當(dāng)?shù)腁CL或其他身份驗(yàn)證技術(shù)僅允許來自可信用戶的訪問;三是保持安全軟件開啟����,并更新為最新版本���。