大家都在搜

H2Miner木馬利用SaltStack漏洞入侵服務器挖礦,多家企業已中招



很多網絡安全事件均由安全漏洞引發。日前,騰訊安全威脅情報中心檢測到H2Miner黑產團伙利用SaltStack遠程命令執行漏洞入侵企業主機、控制服務器進行門羅幣挖礦,已非法獲利370萬元,給企業正常業務造成重大影響。騰訊安全專家提醒企業及時升級修補漏洞,并使用專業安全產品予以防護,避免被黑產利用。

Saltstack是基于python開發的一套C/S架構自動化運維工具,通過Saltstack運維人員可以實現在眾多服務器上批量執行命令,提高運維效率,因而受到一些云主機商、私有云公司的青睞。然而,近日SaltStack被爆存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)。其中,通過認證繞過漏洞,攻擊者可構造惡意請求,繞過Salt Master的驗證邏輯,調用相關未授權函數功能,達到遠程命令執行目的;通過目錄遍歷漏洞,攻擊者可讀取服務器上任意文件,獲取系統敏感信息信息。漏洞影響包括SaltStack < 2019.2.4、SaltStack < 3000.2在內的版本,影響廣泛。

5月3日,騰訊安全威脅情報中心檢測到首起利用SaltStack漏洞發動攻擊的安全事件,通過對該事件木馬核心腳本、可執行文件對比分析,確定攻擊行為來自挖礦木馬家族H2Miner。攻擊過程中,H2Miner木馬會卸載服務器的安全軟件,清除服務器內其它挖礦木馬以獨占服務器資源。據騰訊安全威脅情報中心大數據統計結果顯示,自5月3日起,H2Miner利用SaltStack漏洞的攻擊呈快速增長態勢,目前已有多家企業中招,已有部分CDN平臺因入侵出現服務故障,黑產團伙利用已控制的服務器組網進行門羅幣挖礦,非法獲利已超370萬元。

據騰訊安全相關專家介紹,H2Miner是一個linux下的挖礦僵尸網絡,可通過hadoop yarn未授權、docker未授權、confluence RCE、thinkphp 5 RCE、Redis未授權等多種手段進行入侵,下載惡意腳本及惡意程序進行挖礦牟利,橫向掃描擴大攻擊面并維持C&C通信,一旦成功入侵將大量占用服務器資源,直接影響企業正常業務和訪問。

H2Miner利用SaltStack漏洞攻擊流程

為此,騰訊安全專家提醒企業加強防范,避免黑產團伙“趁虛而入”。企業安全運維人員應將SaltMaster默認監聽端口設置為禁止對公網開放,或僅對可信對象開放;將SaltStack升級至安全版本以上,并設置為自動更新,及時獲取相應補丁,防止病毒入侵;非必要情況下不要將Redis暴露在公網,并使用足夠強的Redis口令。

與此同時,騰訊安全團隊也已更新涵蓋威脅發現、威脅分析、威脅處置在內的全棧解決方案,全面封堵SaltStack漏洞的相關黑產利用,企業可選擇予以部署。在威脅情報上,T-Sec威脅情報云查服務、T-Sec高級威脅追溯系統已支持SaltStack漏洞相關黑產信息和情報的檢索,幫助企業及時識別威脅、追溯網絡入侵源頭。在邊界防護上,T-Sec高級威脅檢測系統、云防火墻可基于網絡流量進行威脅檢測,主動攔截SaltStack遠程命令執行漏洞相關訪問流量。在終端保護方面,T-Sec主機安全、T-Sec終端安全管理系統可查殺利用SaltStack遠程命令執行漏洞入侵的挖礦木馬、后門程序。在網絡資產風險檢測方面,T-Sec網絡資產風險檢測系統已集成無損檢測POC,企業可以對自身資產進行遠程檢測,及時了解受漏洞影響情況。對于云上企業,T-Sec安全運營中心已接入騰訊主機安全(云鏡)、騰訊御知等產品數據導入,為企業提供漏洞情報、威脅發現、事件處置、基線合規、泄露監測、風險可視等全方位安全能力,護航服務器安全。




上一篇:影創科技集團——變革,從現在開始
下一篇:返回列表
崛起2 赚钱 幸运农场今天开奖结果 股票配资是坑人吗 广东26选5开奖视频 手机棋牌捕鱼游戏中心 有哪些正规的股票配资平台 福建十一选五开奖结果今天 体育彩票环岛赛玩法 对应码 冮西11选5五行走势图 闲来麻将到底有没有 …