黑客利用F5 BIG-IP漏洞传播Linux挖矿病毒

2024-02-19 10:04

本文主要是介绍黑客利用F5 BIG-IP漏洞传播Linux挖矿病毒,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

漏洞简介

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

近日,F5的安全公告更新了BIG-IP,BIG-IQ中的多个严重漏洞,建议广大用户及时将F5 BIG-IP/BIG-IQ升级到最新版本,最新版本下载地址:

https://support.f5.com/csp/article/K02566623,漏洞允许定义身份验证的攻击者通过 BIG-IP 管理界面和自身IP地址对 iControl REST 接口进行网络访问,以执行任意系统命令,控制目标机器。

漏洞研究

F5 BIG-IP的访问登录页面,如下所示:

向网站发送构造的漏洞POC请求数据包,执行任意命令,POC请求数据包,如下所示:

如果存在漏洞,则会执行命令id,这个漏洞的POC脚本有兴趣的可以去自行下载研究,github地址:https://github.com/h4x0r-dz/RCE-Exploit-in-BIG-IP。

病毒研究

一些黑客组织已经开始利用这个漏洞传播挖矿病毒,国内外各安全厂商应该也监控到一些相关的数据包,捕获到的数据包流量与之前构造POC请求的流程数据包格式一样,如下所示:

直接下载里面的payload恶意脚本,进行分析研究。

1.关闭其他挖矿病毒家族进程,如下所示:

2.如果检测到阿里云相关进程,则下载并执行uninstall.sh和quartz_uninstall.sh脚本卸载、删除阿里云盾(安骑士)产品,如下所示:

3.清理阿里云盾残留项,停止并禁用阿里云服务,如下所示:

4.关闭并删除百度云Agent服务,阿里云监控,如下所示:

5.如果检测到腾讯云镜等进程,则通过脚本卸载删除云镜,如下所示:

6.下载并安装挖矿程序,如下所示:

下载安装的挖矿程序是开源挖矿程序,下载链接:

https://github.com/xmrig/xmrig/releases/latest/xmrig.tar.gz

7.修改挖矿程序的配置,如下所示:

最后关闭相关进程,再生成辅助脚本启动挖矿程序进行挖矿操作,脚本基本分析完了,比较简单,这款Linux挖矿病毒矿池为spy pool(天池),矿池地址:https://skypool.org/,挖矿URL地址为:www.skypool.in:80。

笔者之前也分析过一些基于Linux平台下的挖矿病毒,使用的恶意脚本基本上大同小致,现在一些黑客组织会使用Rootkit等高级技术隐藏挖矿病毒进程或挖矿流量等,不过通过漏洞下载传播的脚本基本套路都差不多,主要功能是就是对抗安全软件、常驻系统挖矿、干掉其他挖矿恶意家族等,使用的挖矿病毒大多数也是开源挖矿代码程序或基于开源挖矿代码修改的制定版挖矿程序。

前段时间BTC价格疯涨,曾一度爆涨到超过六万美元,真的是太疯狂了,现在BTC已经不好挖,也很难挖到了,所以大部分黑客组织通过挖矿病毒程序来挖门罗币,目前勒索大部分还是以勒索BTC为主,但是随着门罗币的发展与流行,Sodinokibi勒索病毒之前也开始勒索门罗币,受害者可以通过交付门罗币解密文件。

总结

随着云计算的发展,黑客组织的攻击目标早就已经瞄准了云计算,一些黑客组织会通过云端应用程序漏洞来植入各种恶意软件(挖矿、勒索、窃密、远控、后门)到云服务器上,通过将挖矿病毒植入企业云服务器后,可以利用企业的云服务器帮助黑客组织来挖矿获取利益。

企业数据安全已经成为未来网络安全最关注的方向,未来会有更多的企业将数据存储到云服务器上,使用云计算厂商提供的相关服务,勒索病毒攻击组织从去年开始就已经向这些云计算服务器发起攻击,对暴露在公网上的云计算的VPS、ECS、虚拟主机等进行扫描,同时会对一些服务器托管服务商和运营商进行定向攻击。

未来基于云计算市场的发展,各企业对云安全的需求会越来越旺盛,国内各安全厂商也纷纷开始云原生安全产品的推广,像云主机安全类产品,云防火墙类产品,云WEB应用防护类产品等,其实不管推出什么新产品,叫什么新名字,基于什么平台之类,这些产品主要还是想解决的两大核心问题,一个是漏洞问题,一个是病毒问题,漏洞会一直存在,病毒更是无处不在,而且就像笔者之前说的,从计算机安全问题出现的第一天起,安全问题主要还是以这两个核心为基础,一个漏洞,一个病毒,漏洞与病毒总是相辅相成的,病毒会利用漏洞进行传播,漏洞可以作为病毒传播的载体,每次只要有新的漏洞曝光,黑客组织都会第一时间盯上这些曝光的漏洞,试图利用这些漏洞传播各种恶意软件,漏洞是病毒的一种传播方式,同时一些病毒也会包含漏洞,通过漏洞横向扩散,系统提权,杀软对抗等操作,除了利用漏洞,黑客组织也会通过其他各种不同的攻击方式来传播病毒。

这篇关于黑客利用F5 BIG-IP漏洞传播Linux挖矿病毒的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/724324

相关文章

Linux命令之firewalld的用法

《Linux命令之firewalld的用法》:本文主要介绍Linux命令之firewalld的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux命令之firewalld1、程序包2、启动firewalld3、配置文件4、firewalld规则定义的九大

Linux之计划任务和调度命令at/cron详解

《Linux之计划任务和调度命令at/cron详解》:本文主要介绍Linux之计划任务和调度命令at/cron的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux计划任务和调度命令at/cron一、计划任务二、命令{at}介绍三、命令语法及功能 :at

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文

Linux内核参数配置与验证详细指南

《Linux内核参数配置与验证详细指南》在Linux系统运维和性能优化中,内核参数(sysctl)的配置至关重要,本文主要来聊聊如何配置与验证这些Linux内核参数,希望对大家有一定的帮助... 目录1. 引言2. 内核参数的作用3. 如何设置内核参数3.1 临时设置(重启失效)3.2 永久设置(重启仍生效

kali linux 无法登录root的问题及解决方法

《kalilinux无法登录root的问题及解决方法》:本文主要介绍kalilinux无法登录root的问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,... 目录kali linux 无法登录root1、问题描述1.1、本地登录root1.2、ssh远程登录root2、

Python中使用正则表达式精准匹配IP地址的案例

《Python中使用正则表达式精准匹配IP地址的案例》Python的正则表达式(re模块)是完成这个任务的利器,但你知道怎么写才能准确匹配各种合法的IP地址吗,今天我们就来详细探讨这个问题,感兴趣的朋... 目录为什么需要IP正则表达式?IP地址的基本结构基础正则表达式写法精确匹配0-255的数字验证IP地

Linux ls命令操作详解

《Linuxls命令操作详解》通过ls命令,我们可以查看指定目录下的文件和子目录,并结合不同的选项获取详细的文件信息,如权限、大小、修改时间等,:本文主要介绍Linuxls命令详解,需要的朋友可... 目录1. 命令简介2. 命令的基本语法和用法2.1 语法格式2.2 使用示例2.2.1 列出当前目录下的文

Linux中的计划任务(crontab)使用方式

《Linux中的计划任务(crontab)使用方式》:本文主要介绍Linux中的计划任务(crontab)使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、前言1、linux的起源与发展2、什么是计划任务(crontab)二、crontab基础1、cro

Linux换行符的使用方法详解

《Linux换行符的使用方法详解》本文介绍了Linux中常用的换行符LF及其在文件中的表示,展示了如何使用sed命令替换换行符,并列举了与换行符处理相关的Linux命令,通过代码讲解的非常详细,需要的... 目录简介检测文件中的换行符使用 cat -A 查看换行符使用 od -c 检查字符换行符格式转换将

Linux系统配置NAT网络模式的详细步骤(附图文)

《Linux系统配置NAT网络模式的详细步骤(附图文)》本文详细指导如何在VMware环境下配置NAT网络模式,包括设置主机和虚拟机的IP地址、网关,以及针对Linux和Windows系统的具体步骤,... 目录一、配置NAT网络模式二、设置虚拟机交换机网关2.1 打开虚拟机2.2 管理员授权2.3 设置子