只需一个程序即可使用最复杂的方法将服务器变成采矿机。

Cado Security 的专家 发现了一种针对Redis服务器的新恶意活动。在获得对系统的初始访问权限后，攻击者会在运行 Linux 的受感染主机上挖掘加密货币。

研究人员之一马特·缪尔 (Matt Muir) 表示，该活动使用了许多全新的方法来削弱服务器的安全性。具体来说，将禁用 protected-mode、replica-read-only、aof-rewrite-incremental-fsync 和 rdb-save-incremental-fsync 等配置选项。这种策略允许黑客从外部网络向服务器发送额外的命令，也使得后续利用漏洞变得更加容易，而不会引起不必要的关注。

禁用安全机制后，攻击者在系统中安装两个特殊密钥。第一个密钥包含下载 Migo 恶意软件的链接。

第二个键启动一个 Cron 任务，该任务定期连接到 Transfer.sh 服务并从那里下载 Migo 的更新版本。该服务允许您匿名、自由地共享文件；该服务已被攻击者在 2023 年初的类似攻击中使用。

因此，攻击者能够根据自己的判断定期上传新版本的恶意软件或其他工具到受感染的服务器。

Migo 代码实现了各种混淆技术，使得逆向工程和分析程序变得困难。

Migo 的主要功能是下载并启动 XMRig 矿机。此外，该程序还执行许多其他重要任务：它确保连接到系统并按计划启动，阻止竞争的挖掘软件并在受感染的设备上 启动挖掘过程本身。

该工具还禁用 Linux 中负责高级安全机制的 SELinux 子系统。没有 SELinux，Migo 可以不受阻碍地运行。

Migo 搜索并删除用于卸载系统监控软件代理的脚本。此类代理通常会采用云托管提供商来保护其基础设施。

为了屏蔽文件中正在运行的进程和跟踪，Migo 使用流行的 Linux rootkit libprocesshider 的修改版本。Rootkit 允许您从标准检测工具中隐藏恶意软件的存在。

正如 Muir 指出的那样，Migo 的策略在很多方面与 TeamTNT、WatchDog 和 Rocke 等其他知名黑客组织所使用的策略有重叠。

Cado 安全 分析师指出，攻击者不断创建和改进恶意工具来攻击流行的 Web 平台和服务。

Cado Security 建议 Redis 服务器和其他常见 Web 应用程序的管理员对此类网络威胁保持高度警惕，并监控安全更新。

文章原文链接:https://www.anquanke.com/post/id/293352