導(dǎo)讀:亞洲云計算服務(wù)提供商如今已經(jīng)成為CoinStomp惡意軟件攻擊的目標(biāo),其攻擊旨在竊取用于開采加密貨幣的計算能力。
亞洲云計算服務(wù)提供商如今已經(jīng)成為CoinStomp惡意軟件攻擊的目標(biāo),其攻擊旨在竊取用于開采加密貨幣的計算能力。CoinStomp惡意軟件部署的網(wǎng)絡(luò)攻擊技術(shù)包括時間戳(修改文件時間戳)、刪除系統(tǒng)加密策略,以及使用反向shell啟動與惡意軟件的命令和控制通信。
云原生網(wǎng)絡(luò)取證和響應(yīng)平臺提供商Cado Security公司研究員Matt Muir在其發(fā)表的一篇文章中指出,“CoinStomp在之前的加密劫持攻擊中使用了時間戳。然而,這不是一種常見的技術(shù)。這種技術(shù)通常被用作一種反取證措施,以阻礙調(diào)查人員的調(diào)查和受害方的補救工作。”
Cybellum公司安全研究員和開發(fā)人員Gal Lapid解釋說,網(wǎng)絡(luò)攻擊者經(jīng)常更改關(guān)鍵文件。他說,“很多時候,這些文件位于包含許多同時生成的文件的文件夾中,一旦有一個文件‘不合適’(最近被更改過),就可能會引發(fā)一些危險信號。因此,網(wǎng)絡(luò)攻擊者可以復(fù)制文件夾內(nèi)其他文件的時間戳,從而躲避安全檢測?!?/p>
惡意軟件刪除加密策略文件
Vulcan Cyber公司的網(wǎng)絡(luò)安全工程師Mike Parkin指出,一些APT小組的工具包中包含時間戳操作。他說,“這并不是一種晦澀難懂的技術(shù)。”
CoinStomp惡意軟件還發(fā)出命令以刪除系統(tǒng)上的加密策略文件,甚至終止加密進(jìn)程。Cado Security公司的Muir寫道,“顯然,加密策略的執(zhí)行對惡意軟件的部署產(chǎn)生了切實的影響。如果惡意應(yīng)用程序使用不安全的協(xié)議,加密策略可能會阻止下載額外的有效負(fù)載,也可以防止惡意應(yīng)用程序運行。”
CoinStomp團(tuán)伙精通云計算技術(shù)
為了發(fā)出命令和控制惡意軟件,CoinStomp團(tuán)伙在Linux系統(tǒng)上使用/dev/tcp文件創(chuàng)建了一個反向shell。Muir解釋說,“大多數(shù)Linux發(fā)行版都支持通過/dev/tcp設(shè)備文件對遠(yuǎn)程主機進(jìn)行讀/寫操作。當(dāng)然,這對于惡意軟件開發(fā)人員來說是完美的,因為它是一種創(chuàng)建反向shell或C2通信通道的簡單且原生支持的方法?!?/p>
北美共享評估指導(dǎo)委員會主席Nasser Fattah補充說:“由于/dev/tcp是Linux的原生版本,旨在與其他計算機通信,網(wǎng)絡(luò)攻擊者可以利用該文件,并將其作為常見的預(yù)期網(wǎng)絡(luò)流量,例如HTTP。”北美共享評估指導(dǎo)委員會是第三方風(fēng)險管理提供工具和認(rèn)證的公司聯(lián)盟。
Muir認(rèn)為,CoinStomp團(tuán)伙展示了網(wǎng)絡(luò)攻擊者在云安全領(lǐng)域的復(fù)雜性和專業(yè)知識。他寫道,“采用反取證技術(shù),并通過刪除加密策略來削弱目標(biāo)機器的安全性,不僅表明了網(wǎng)絡(luò)攻擊者對Linux安全措施的了解,而且還表明了對事件響應(yīng)過程的理解?!?/p>
敏銳地意識到如何在Linux上進(jìn)行檢測
Muir補充說,使用/dev/tcp創(chuàng)建用于通信的反向shell也是一種高級技術(shù)。他指出,“C2通信通常很嘈雜,并且很容易被監(jiān)控工具發(fā)現(xiàn),但使用端口443有助于使這種流量看起來合法?!?/p>
Arctic Wolf公司首席技術(shù)官Ian McShane發(fā)現(xiàn)CoinStomp是一種不尋常的網(wǎng)絡(luò)攻擊。他說,“由于反向shell的使用和避免常見安全控制的能力,CoinStomp團(tuán)伙敏銳地意識到在Linux上進(jìn)行安全檢測的方式,并且能夠針對不一定對互聯(lián)網(wǎng)通信開放的基礎(chǔ)設(shè)施進(jìn)行攻擊?!?/p>
Valtix公司首席安全研究員Davis McCarthy補充說,“CoinStomp團(tuán)伙具有前瞻性思維,他們正在使用復(fù)雜技術(shù)來應(yīng)對可能遇到的安全控制措施。”