騰訊主機安全捕獲Ks3_Miner木馬通過爆破SSH入侵云服務器挖礦

騰訊主機安全捕獲Ks3挖礦木馬攻擊云服務器，攻擊團伙通過掃描網絡中大量開放的SSH服務，對其進行爆破攻擊。成功后植入挖礦惡意腳本進行門羅幣挖礦。因挖礦木馬主腳本名為ks3，騰訊安全將其命名為Ks3_Miner，騰訊安全全系列產品已支持對Ks3挖礦木馬的檢測和查殺。

騰訊御見：Phorpiex網絡病近期活躍 通過投遞分發挖礦木馬等獲利:騰訊安全威脅情報中心檢測到Phorpiex僵尸網絡病在國內近期較為活躍。Phorpiex僵尸網絡病主要通過投遞、分發其它惡意病木馬來獲利。包括：挖礦木馬、盜竊虛擬幣的木馬、群發詐騙郵件敲詐虛擬幣、為其他勒索病提供分發渠道等等。[2020/6/9]

該挖礦木馬作業時，會大量占用服務器資源，使云服務器無法提供正常的網絡服務。同時，該木馬也會結束其他挖礦木馬進程，刪除其他挖礦木馬文件，以獨占服務器資源。

騰訊御見：“8220”挖礦木馬入侵服務器挖礦，可發起DDoS攻擊:騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。此外，“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器，在其使用的FTP服務器上，可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時，會檢查服務器是否有其他挖礦木馬運行，將所有競爭挖礦木馬進程結束，以獨占服務器資源。根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器等因素，騰訊安全專家認為，2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口，根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結，發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。[2020/5/9]

Ks3_Miner惡意代碼托管在ftp地址內，地址內除挖礦模塊外，還存在掃描工具、用于掃描的目標IP地址池超過1300萬個，以及反彈shell腳本。觀察其相關文件修改日期可知，該挖礦木馬最早于2020年6月已開始活動。

動態 | Node Pacific與騰訊云達成合作:2019年11月26日，海外團隊Node Pacific（節點亞太）正式與騰訊云達成合作協議，將在區塊鏈節點、基礎設施建設、技術社區、區塊鏈技術生態建設、區塊鏈教育以及相關領域展開深度合作，在建立緊密合作關系的基礎上，將共同帶動和促進在全球范圍內的區塊鏈以及相關行業生態等領域的建設和發展。(36氪)[2019/11/27]

Ks3挖礦木馬執行成功后，會嘗試進一步讀取機器內歷史登錄憑據信息進行橫向傳播擴散。同時在主機內留下用于后門操作的免密登錄配置項，添加名為.syslogs1q的后門賬戶，以方便后續繼續遠程登錄控制失陷主機。

Tags：區塊鏈PHOSHELLSHE區塊鏈是窮人的最后一次機會Typhoon NetworkSHELL幣Cashera

比特幣交易所