Rocke coinminer禁用云保护代理

admin

CryptoJacker的新shell脚本A7可以从阿里巴巴和腾讯中删除云安全代理，以避免CoinMiner检测。

远程控制软件

一组专门用加密货币挖掘软件感染服务器的黑客已经开始禁用云环境中使用的安全软件代理来逃避检测。该集团在安全行业被称为Rock，自2018年4月以来一直活跃，并以利用Web应用程序框架和服务器（如Apache Struts、Oracle Weblogic和Adobe ColdFusion）中的关键漏洞而闻名。
一旦进入服务器，攻击者就会执行shell脚本，下载并安装Monero Cryptocurrency Mining恶意软件（针对Linux或Windows），具体取决于服务器的操作系统。Palo Alto Networks的研究人员分析了Roke的Linux shell脚本的最新样本，这些脚本被认为与另一个叫Iron的网络犯罪组织开发的Xbash恶意软件有关。不同群体之间的工具重叠并不罕见，特别是因为许多攻击工具都是公开提供的，或者在地下市场上进行商业销售。
然而，分析后的roke示例有一个新特性，在硬币挖掘攻击中没有观察到：在部署coinminer之前，恶意脚本搜索五种不同的云安全保护和监控产品，并将它们从服务器上卸载。
Palo Alto Networks的研究人员在一份报告中说：“这些产品是由腾讯云（Tencent Cloud）和阿里巴巴云（Aliyun）开发的，这两家中国领先的云提供商正在全球扩张业务。”据我们所知，这是第一个恶意软件系列，开发了独特的能力，以目标和删除云安全产品。这也突显了Gartner定义的云工作负载保护平台市场中产品面临的新挑战。”
关闭Coinminer竞争对手并杀死安全工具
Roke的恶意shell脚本（称为A7）执行了几个任务，为硬币开采操作奠定了基础。首先，它设置Linuxcron作业以在重新启动时实现持久性。然后，它搜索并杀死其他加密货币挖掘过程，并添加iptables（防火墙）规则以阻止竞争的铸币商运行。最后，它卸载了基于代理的云安全产品，然后才下载自己的CoinMining程序，执行它，隐藏它的过程并修改它的文件日期，这样事件响应者就不容易找到它。
恶意软件针对的五种安全解决方案是：
阿里巴巴威胁检测服务代理
阿里云监控代理，监控CPU、内存使用和网络连接
阿里云助理代理，用于云实例的自动管理
腾讯主机安全代理
腾讯云监控代理
似乎随着时间的推移，Roke针对云环境的检测规避技术也在不断发展，因为早期的示例只试图杀死腾讯云监控进程。当这被证明是无效的时候，集团接受了腾讯和阿里巴巴网站上的代理卸载指令并实施了它们。

该集团有依赖开源信息和资源的习惯，这种技术在安全行业被称为“远离土地生活”。在过去的攻击中，它将恶意文件托管在Github、Gitlab和基于中国的Gitee上的源代码存储库中，并使用了开源工具，如IP扫描仪、代理和暴力工具包。该组织还将包含各种漏洞的公共存储库分叉，包括影子经纪人泄露的NSA漏洞。
这种针对云安全代理的新检测规避技术可能会被其他网络犯罪集团采用，并且可能会扩展到涵盖其他供应商的服务器安全软件。
勒索软件、滥用服务器和计算机进行未经授权的加密货币挖掘是网络犯罪分子最赚钱、最容易实施的攻击之一，因此这些攻击可能会继续下去。事实上，安全行业已经观察到一些群体从勒索软件转向投币采矿，或者在相同的攻击中将两者结合起来。
Palo Alto的研究人员说：“Roke Group使用的恶意软件变体就是一个例子，证明基于代理的云安全解决方案可能不足以阻止针对公共云基础设施的规避恶意软件。”