压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Palo Alto Networks 公司網絡安全研究團隊 Unit 42 最近捕獲并分析了一款新型惡意軟件樣本，發現其代碼引入了云安全防護及監視產品卸載模塊，能從被黑Linux服務器上卸載5款不同云安全產品。

該樣本源自Rocke黑客團伙使用的加密貨幣挖礦機，最初由思科Talos團隊于2018年8月披露，因其展現了一系列“令人驚異”的行為而尤為突出。

Unit 42 的研究人員解釋道：2018年10月捕獲的樣本會先利用 Apache Struts 2、Oracle WebLogic 和 Adobe ColdFusion 中的多個漏洞，再卸載掉阿里巴巴和騰訊的云安全產品，最后才開始表現出加密貨幣挖礦機的典型行為。

舉個例子，通過利用Linux服務器上 Oracle WebLogic 漏洞 CVE-2017-10271，攻擊者可以操控被黑主機下載后門0720.bin并打開shell。

該惡意軟件的反云防護功能可以卸載如下云安全產品：

• 阿里威脅檢測服務代理；
• 阿里云監控代理(監視CPU及內存消耗、網絡連接)；
• 阿里云助手代理(自動化管理實例的工具)；
• 騰訊主機安全代理；
• 騰訊云監控代理。

該惡意軟件只針對阿里巴巴和騰訊這兩大中國供應商，且只有入侵后才能關閉云安全功能(Talos團隊略帶輕蔑地將其活動描述為“動靜很大的掃描+漏洞利用”)，但該進化足以引起重視，可能代表著惡意軟件的一種趨勢。目前該惡意軟件的命令與控制服務器已被關停。

研究人員表示：

這種特別的規避行為將成為公共云基礎設施惡意軟件的新趨勢。該惡意軟件是按照阿里巴巴和騰訊的云安全工具卸載指南來編程的。

Talos研究人員對Rocke小組的定位是：“積極投身到加密貨幣惡意軟件投送與執行活動中的黑客團伙”，稱其“利用Git代碼倉庫、HttpFieServers(HFS)網絡文件服務器等一系列公開可用的工具包”，“加載各種各樣的攻擊載荷，包括shell腳本、JavaScript后門和ELF及PE挖礦機。”