|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 软件>

F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加密货币

2019-07-10 15:12 作者:佚名 来源:硅谷网 HV: 编辑:吴丹 【搜索试试

近日,F5安全研究院(F5 Labs)的研究人员公布了近期发现的新型GoLang加密货币挖掘恶意软件。该恶意软件针对基于Linux的服务器发起攻击以挖掘XMR(门罗币)。研究人员估算,已有数千台机器受到僵尸网络感染。

恶意软件利用不同漏洞功能示例

发现恶意请求,为GO语言编写的新型恶意软件

2019年6月14日,F5研究人员检测到针对ThinkPHP(CVE-2019-9082和CVE未分配),Atlassian Confluence(CVE-2019-3396)和Drupal(CVE-2018-7600)(也称为Druppalgeddon2)中漏洞的恶意请求。请求中传递的有效负载尝试通过发送相同漏洞的方式进行传播,同时试图使用多个硬编码凭据连接到Redis数据库并通过SSH协议连接。最终目的是通过上述方法将加密货币挖掘恶意软件安装至服务器,并感染其他服务器以继续传播。此次攻击行为中所利用的部分漏洞为常见目标,但发送的恶意软件却是用Go(GoLang)语言编写。值得注意的是,Go是一种不常被用于创建恶意程序的新编程语言。

Go语言已有将近十年的历史,通常被大多数开发者合法使用,因此使用GoLang进行恶意软件攻击的活动并不常见。2019年1月,一个早期的GoLang恶意软件样本被分析并发布。

F5 Labs的研究人员捕获的这一样本与用Go编写的Zebrocy恶意软件变种和MalwareBytes分析的盗取程序不同。经过初步判断,该样本似乎来自一款新的恶意软件,而该恶意软件目前尚未被反病毒软件供应商收录,因为检测到这一恶意软件的反病毒软件将其归为一般恶意软件类型。

瞄准Linux服务器,恶意软件以七种传播方式

该新型GoLang恶意软件专门针对Linux 服务器、通过七种不同的方式传播:包括四类Web应用程序(两种针对ThinkPHP, 一种针对Drupal, 一种针对Confluence)、SSH凭据枚举、Redis数据库密码枚举,以及尝试使用已发现的SSH密钥连接其他计算机。由于目前安装加密挖掘软件的行为已相当普遍,所以其传播技术量级之大也成为一个明显的特征。

随着F5研究人员对该恶意软件进行追本溯源,发现攻击者使用了在线剪贴板pastebin网站来托管spearhead bash脚本,恶意软件已托管在一个被入侵的中国电子商务网站上。追查过程中研究人员发现,在剪切板和GitHub上的帐户于几天前创建,并克隆了一个基于Golang的漏洞扫描程序项目,这表明攻击者仍在实验中。而根据剪贴板和GitHhub上的用户名以及克隆项目推断,研究员们怀疑这次攻击可能是来自中国的黑客所为。

Pastebin上传播恶意软件的用户信息示例

F5观点:GoLang恶意软件提示新的安全风险应引起注意

尽管这一恶意软件样本并不是F5研究人员分析过的最复杂的类型,但它所具有的独特性足以引起关注。然而攻击者尝试使用量重于质的模式来探索一种进入系统的方法,却暴露了它的不成熟。

GoLang恶意软件首次出现是在2018年中期,并在2019年持续发生。由于Go 语言主要被开发者用于合法程序,通常不会被反病毒软件收录,也正因如此,GoLang开始被恶意攻击者用作编写恶意软件的语言,使其逐渐走向了“黑暗”的一面, 致使Golang恶意软件开始出现在威胁场景中。

具有独特性的威胁活动和恶意软件只是F5 Labs不断检测的一部分威胁载体。获取详细技术细节可访问F5 Labs网站博客。此外,作为F5旗下权威的安全研究机构,F5 Labs 致力于将应用威胁数据转化为可利用的安全防护信息,通过分析并分享安全威胁场景助益网络社区安全。

【对“F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加密货币”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·F5携NGINX发布多项解决方案,统一应用平台弥合团
·F5亮相AWS峰会,全球合作伙伴关系惠及客户全面上
·F5总裁访华传递利好信息,“联姻”NGINX推进多云
·谋变与赋能,F5谈深度数字化转型中的渠道变革
·F5中国合作伙伴峰会召开,五大战略与四大利好强
·F5推出新SaaS产品,为开发人员和DevOps团队提供
头条
“魔搜”软件开发者张某被判刑1年2个月缓刑1年10个月 “魔搜”软件开发者张某被判刑1年2个月缓刑1
一个取名魔搜的软件篡改消费者在电商平台的购物浏览记录,企图通过数据造假制造爆款。……
·“魔搜”软件开发者张某被判刑1年2个月缓刑1
·45款应用程序遭谷歌下架 猎豹移动股价惨跌16.
·腾讯会议一星好评,如何占得线上视频会议市场
·高仿APP捞钱套路:蹭官方、发广告、索取隐私
·报告称APP的支出和使用率在2019年达到创纪录
图文
“远程办公”战线拉长,如何确保“私有化”办公?
“远程办公”战线拉长,如何确保“私有化”
友盟+智能认证:用户增长始于头,体验提升只需1.3秒
友盟+智能认证:用户增长始于头,体验提升
知米背单词APP那些不为人知的小细节(图)
知米背单词APP那些不为人知的小细节(图)
Realme引入广告什么情况 Realme广告怎么设置关闭?
Realme引入广告什么情况 Realme广告怎么设
最新
·“远程办公”战线拉长,如何确保“私有化”办公?
·友盟+智能认证:用户增长始于头,体验提升只需1.3
·“魔搜”软件开发者张某被判刑1年2个月缓刑1年10
·字节跳动称旗下办公产品飞书被微信全面封禁
·疫情下的危机,如何通过“信源豆豆”实现企业安全
热点
·群控、云控时代即将终结,智控时代已到来
·106短信群发平台APP,致力于成为领域内佼佼者
·DT小听App:防偷拍,还是用这款国产app(图)
·软件技术行业发展变化非常快,软件人才要按需
·嗨学网一级消防可靠吗?新手妈妈亲生经历告诉
旧闻
·社会“抢票软件”存隐患随时有可能被屏蔽
·漂亮有创意的思维导图怎么画?办公也有小技巧
·全国多地上线电子社保卡 微信10秒即可申领
·微软发布2013年首批补丁 暂未修复IE漏洞
·喜推人工智能名片:看懂客户心,销售才能更欢
广告
硅谷影像
“远程办公”战线拉长,如何确保“私有化”办公?
“远程办公”战线拉长,如何确保“私有化”办公?
友盟+智能认证:用户增长始于头,体验提升只需1.3秒
友盟+智能认证:用户增长始于头,体验提升只需1.3
“魔搜”软件开发者张某被判刑1年2个月缓刑1年10个月
“魔搜”软件开发者张某被判刑1年2个月缓刑1年10
打响“科技防疫战” 中软国际解放号在行动
打响“科技防疫战” 中软国际解放号在行动
钉钉5.0新增在线办公室、圈子,满足用户个性化需求
钉钉5.0新增在线办公室、圈子,满足用户个性化需
钉钉5.0产品见面会 彩蛋Real如我曝光号召无压力分享
钉钉5.0产品见面会 彩蛋Real如我曝光号召无压力分
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>