H2Miner木馬利用SaltStack新漏洞發(fā)動攻擊,已獲利370萬元

  • 人閱讀
  • 2020-05-08 14:30:56

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

很多網(wǎng)絡(luò)安全事件均由安全漏洞引發(fā)。日前,騰訊安全威脅情報中心檢測到H2Miner黑產(chǎn)團(tuán)伙利用SaltStack遠(yuǎn)程命令執(zhí)行漏洞入侵企業(yè)主機(jī)、控制服務(wù)器進(jìn)行門羅幣挖礦,已非法獲利370萬元,給企業(yè)正常業(yè)務(wù)造成重大影響。騰訊安全專家提醒企業(yè)及時升級修補(bǔ)漏洞,并使用專業(yè)安全產(chǎn)品予以防護(hù),避免被黑產(chǎn)利用。

Saltstack是基于python開發(fā)的一套C/S架構(gòu)自動化運維工具,通過Saltstack運維人員可以實現(xiàn)在眾多服務(wù)器上批量執(zhí)行命令,提高運維效率,因而受到一些云主機(jī)商、私有云公司的青睞。然而,近日SaltStack被爆存在認(rèn)證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)。其中,通過認(rèn)證繞過漏洞,攻擊者可構(gòu)造惡意請求,繞過Salt Master的驗證邏輯,調(diào)用相關(guān)未授權(quán)函數(shù)功能,達(dá)到遠(yuǎn)程命令執(zhí)行目的;通過目錄遍歷漏洞,攻擊者可讀取服務(wù)器上任意文件,獲取系統(tǒng)敏感信息信息。漏洞影響包括SaltStack < 2019.2.4、SaltStack < 3000.2在內(nèi)的版本,影響廣泛。

5月3日,騰訊安全威脅情報中心檢測到首起利用SaltStack漏洞發(fā)動攻擊的安全事件,通過對該事件木馬核心腳本、可執(zhí)行文件對比分析,確定攻擊行為來自挖礦木馬家族H2Miner。攻擊過程中,H2Miner木馬會卸載服務(wù)器的安全軟件,清除服務(wù)器內(nèi)其它挖礦木馬以獨占服務(wù)器資源。據(jù)騰訊安全威脅情報中心大數(shù)據(jù)統(tǒng)計結(jié)果顯示,自5月3日起,H2Miner利用SaltStack漏洞的攻擊呈快速增長態(tài)勢,目前已有多家企業(yè)中招,已有部分CDN平臺因入侵出現(xiàn)服務(wù)故障,黑產(chǎn)團(tuán)伙利用已控制的服務(wù)器組網(wǎng)進(jìn)行門羅幣挖礦,非法獲利已超370萬元。

據(jù)騰訊安全相關(guān)專家介紹,H2Miner是一個linux下的挖礦僵尸網(wǎng)絡(luò),可通過hadoop yarn未授權(quán)、docker未授權(quán)、confluence RCE、thinkphp 5 RCE、Redis未授權(quán)等多種手段進(jìn)行入侵,下載惡意腳本及惡意程序進(jìn)行挖礦牟利,橫向掃描擴(kuò)大攻擊面并維持C&C通信,一旦成功入侵將大量占用服務(wù)器資源,直接影響企業(yè)正常業(yè)務(wù)和訪問。

H2Miner木馬利用SaltStack新漏洞發(fā)動攻擊,已獲利370萬元

H2Miner利用SaltStack漏洞攻擊流程

為此,騰訊安全專家提醒企業(yè)加強(qiáng)防范,避免黑產(chǎn)團(tuán)伙“趁虛而入”。企業(yè)安全運維人員應(yīng)將SaltMaster默認(rèn)監(jiān)聽端口設(shè)置為禁止對公網(wǎng)開放,或僅對可信對象開放;將SaltStack升級至安全版本以上,并設(shè)置為自動更新,及時獲取相應(yīng)補(bǔ)丁,防止病毒入侵;非必要情況下不要將Redis暴露在公網(wǎng),并使用足夠強(qiáng)的Redis口令。

與此同時,騰訊安全團(tuán)隊也已更新涵蓋威脅發(fā)現(xiàn)、威脅分析、威脅處置在內(nèi)的全棧解決方案,全面封堵SaltStack漏洞的相關(guān)黑產(chǎn)利用,企業(yè)可選擇予以部署。在威脅情報上,T-Sec威脅情報云查服務(wù)、T-Sec高級威脅追溯系統(tǒng)已支持SaltStack漏洞相關(guān)黑產(chǎn)信息和情報的檢索,幫助企業(yè)及時識別威脅、追溯網(wǎng)絡(luò)入侵源頭。在邊界防護(hù)上,T-Sec高級威脅檢測系統(tǒng)、云防火墻可基于網(wǎng)絡(luò)流量進(jìn)行威脅檢測,主動攔截SaltStack遠(yuǎn)程命令執(zhí)行漏洞相關(guān)訪問流量。在終端保護(hù)方面,T-Sec主機(jī)安全、T-Sec終端安全管理系統(tǒng)可查殺利用SaltStack遠(yuǎn)程命令執(zhí)行漏洞入侵的挖礦木馬、后門程序。在網(wǎng)絡(luò)資產(chǎn)風(fēng)險檢測方面,T-Sec網(wǎng)絡(luò)資產(chǎn)風(fēng)險檢測系統(tǒng)已集成無損檢測POC,企業(yè)可以對自身資產(chǎn)進(jìn)行遠(yuǎn)程檢測,及時了解受漏洞影響情況。對于云上企業(yè),T-Sec安全運營中心已接入騰訊主機(jī)安全(云鏡)、騰訊御知等產(chǎn)品數(shù)據(jù)導(dǎo)入,為企業(yè)提供漏洞情報、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、泄露監(jiān)測、風(fēng)險可視等全方位安全能力,護(hù)航服務(wù)器安全。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )