近日，據多名安全研究人員報告，一個代號Sysrv-hello的加密挖礦僵尸網絡正在積極掃描易受攻擊的Windows和Linux企業服務器，并通過自傳播式惡意軟件載荷感染門羅幣(Monero)挖礦機(XMRig)。

該僵尸網絡于2020年12月開始活躍，今年2月首次被阿里云安全研究人員發現。3月份該僵尸網絡的活動激增，先后引起來Lacework Labs和Juniper Threat Labs的安全研究人員的注意。

最初，Sysrv-hello僵尸網絡使用的是帶有礦工和蠕蟲(傳播器)模塊的多組件體系結構，后來升級為使用單個二進制文件，能夠將挖礦惡意軟件自動傳播到其他設備。

Sysrv-hello的傳播器組件能夠主動掃描互聯網，尋找更易受攻擊的系統，利用其可遠程執行惡意代碼的漏洞，將受害設備添加到Monero采礦機器人大軍中。

Lacework發現，攻擊者“正在通過PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic和Apache Struts中注入遠程代碼執行漏洞來針對云工作負載，以獲取初始訪問權限”。

Lacework補充說：“橫向移動是通過受害機器上可用的SSH密鑰以及從bash歷史記錄文件，SSH配置文件和known_hosts文件中標識的主機進行的。”

Sysrv-hello攻擊流程 來源：Lacework

Sysrv-hello針對的漏洞

Sysrv-hello僵尸網絡的活動在三月份激增之后，Juniper發現了六種漏洞，這些漏洞被主動攻擊的惡意軟件樣本利用：

• Mongo Express RCE(CVE-2019-10758)
• XML-RPC(CVE-2017-11610)
• Saltstack RCE(CVE-2020-16846)
• Drupal Ajax RCE(CVE-2018-7600)
• ThinkPHP RCE(無CVE)
• XXL-JOB Unauth RCE(無CVE)

該僵尸網絡過去使用的其他漏洞還包括

• Laravel(CVE-2021-3129)
• Oracle Weblogic(CVE-2020-14882)
• Atlassian Confluence服務器(CVE-2019-3396)
• Apache Solr(CVE-2019-0193)
• PHPUnit(CVE-2017-9841)
• Jboss應用程序服務器(CVE-2017-12149)
• Sonatype Nexus存儲庫管理器(CVE-2019-7238)
• Jenkins暴力破解
• WordPress暴力破解
• 通過YARN ResourceManager執行Apache Hadoop未經身份驗證的命令執行(無CVE)
• Jupyter Notebook命令執行(無CVE)
• Tomcat Manager免身份驗證上載命令執行(無CVE)

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文