安全快讯 新型ibus蠕虫利用热门漏洞疯狂挖矿
- +1 你赞过了
【天极网网络频道】近日,阿里云安全团队发现一起利用多个流行漏洞传播的蠕虫事件。该蠕虫最初植入的恶意脚本名为ibus,所以被称为ibus蠕虫。
根据阿里云态势感知的大数据平台,ibus蠕虫使用多种漏洞进行传播,主要以web代码执行漏洞为主。同时,恶意脚本的名字及路径具有迷惑性,并且多份拷贝存放于不同的目录下。
阿里云安全团队还发现,该蠕虫具备功能完备的C&C通信模块,C&C通信使用http协议,通信内容被加密。并且,该蠕虫ibus通过挖掘门罗币进行获利。
据悉,黑客首先利用ThinkPHP v5 远程命令执行漏洞攻击了大量主机,并将ip为67.209.177.163的服务器作为蠕虫脚本的下载源。
之后攻击者控制其他被入侵主机从67.209.177.163下载ibus脚本并执行。该脚本用perl语言写成,主要功能是解码、写入并执行C&C (Command and Control)模块。
攻击者进而通过向C&C模块发送命令,下载包含多种攻击payload的传播模块,以及由下载器、配置文件和挖矿程序组成的挖矿模块,挖矿从而获取利润。传播模块则继续攻击未被入侵主机,横向传播。
目前,涉及的漏洞除了ThinkPHP远程命令执行漏洞,还有JBoss、Weblogic、Redis等产品的漏洞。
黑客入侵的各个阶段如下图所示:
进一步得知,ibus蠕虫对应的钱包地址为4An3Radh69LgcTHJf1U3awa9ffej4b6DcUmEv8wirsDm8zRMSjifrwybH2AzHdEsW8eew3rFtk4QbGJMxqitfxmZJhABxpT。
阿里云安全团队解释,“由于该钱包地址在//minexmr.com/#worker_stats对应的挖矿速率(HashRate)约为167KH/s,据此粗略估计,全网约有1万台的主机被这种蠕虫感染,黑客因此每天能牟利30.86美元。”
针对此次ibus蠕虫攻击,阿里云安全团队向用户建议:
互联网上扫描和攻击无处不在,web漏洞、弱密码、服务器存在未授权访问,都可能导致主机被挖矿,应尽量避免使用弱密码。
参考资料:
https://www.freebuf.com/vuls/195489.html
最新资讯
热门视频
新品评测