國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)��,發(fā)現(xiàn)名為“LoggerMiner”新型挖礦木馬程序在云主機(jī)中傳播����,利用云主機(jī)上的ssh(用于本地主機(jī)和遠(yuǎn)程服務(wù)器之間進(jìn)行加密地傳輸數(shù)據(jù))賬號(hào)信息對(duì)其他云主機(jī)進(jìn)行攻擊�,目的是控制更多主機(jī)。該惡意程序還會(huì)嘗試對(duì)云主機(jī)上的docker容器(開(kāi)源的應(yīng)用容器引擎)進(jìn)行攻擊��。 “LoggerMiner”木馬程序因其代碼中大量使用“l(fā)ogger”字符串作為系統(tǒng)賬號(hào)名����、文件路徑��、通信域名等而得名����。該木馬程序能夠利用ssh爆破感染其他云主機(jī)、修改ssh配置���、關(guān)閉安全設(shè)置���、留置后門(mén),目的是方便攻擊者遠(yuǎn)程登錄���,還能夠通過(guò)發(fā)送惡意命令感染docker容器�����?��!癓oggerMiner” 還具有卸載云服務(wù)器安全軟件����、結(jié)束其它挖礦木馬進(jìn)程�����、刪除其它挖礦木馬創(chuàng)建的帳戶(hù)���、添加自己的新帳號(hào)���、停止系統(tǒng)日志、修改系統(tǒng)安全設(shè)置����、安裝定時(shí)任務(wù)實(shí)現(xiàn)持久化等功能。 建議我國(guó)云主機(jī)用戶(hù)采取以下措施予以防范����,一是ssh禁用root遠(yuǎn)程登錄并修改ssh端口;二是設(shè)置允許遠(yuǎn)程訪(fǎng)問(wèn)的IP白名單��;三是設(shè)置ssh禁止短時(shí)間內(nèi)登錄失敗次數(shù)較多的IP登錄。
同時(shí)發(fā)現(xiàn)DDG挖礦木馬最新變種v5028��,較之前的變種v5023�,新版本的DDG挖礦木馬更新了C&C地址及挖礦地址,同時(shí)棄用了傳統(tǒng)的i.sh駐留方式���。該木馬在短短一個(gè)月時(shí)間已有大量攔截?cái)?shù)據(jù),且每日攻擊次數(shù)還呈遞增的趨勢(shì)����。自2020年開(kāi)始,DDG已開(kāi)始啟用v5版本號(hào)��,從以往的Memberlist開(kāi)源P2P通信方式改為了自研的P2P通信方式�。在v5023中有較大更新,木馬會(huì)在 /var/lib/ 或 /usr/local/下生成隨機(jī)名目錄���,用于存放 P2P通信中獲取到的文件及數(shù)據(jù)��,以及新增jobs配置文件來(lái)進(jìn)行一些較高級(jí)的清除異己操作��。本次DDG家族為最新的5028版本�����,其惡意組件在/var/lib/的一個(gè)隨機(jī)名目錄下��。借助P2P僵尸網(wǎng)絡(luò)�,DDG挖礦木馬運(yùn)行后會(huì)隨機(jī)從其他受感染主機(jī)中拉取slave或jobs配置文件,slave里配置的是攻擊組件的信息�����,jobs配置的是清除異己家族的信息�����。 建議用戶(hù)不要運(yùn)行未知來(lái)源的軟件�。同時(shí)提高安全意識(shí),安裝防病毒軟件����,及時(shí)為操作系統(tǒng)、常用軟件等打好補(bǔ)丁�,以免受到該惡意程序的危害。