Related Articles
据微软称,最新的 Sysrv 僵尸网络恶意软件变种正在威胁 Windows 和 Linux 系统,并提供一系列可利用的漏洞。
微软安全情报团队称之为 Sysrv-K 的病毒在互联网上扫描存在安全漏洞的网络服务器,例如路径遍历、远程文件泄露和任意文件下载漏洞,这些漏洞可被利用来感染机器。
这些漏洞都有可用的补丁,包括 WordPress 插件中的缺陷,例如最近发现的 Spring Cloud Gateway 软件中的远程代码执行漏洞,被跟踪为 CVE-2022-22947 那个山姆大叔的 CISA 警告 本星期。
一旦在受感染的系统上运行,Sysrv-K 就会部署一个 Monero 加密货币矿工,它将从系统中抽取计算资源以生成 digicash。 微软警告说,它还可以通过受感染机器上的 WordPress 文件来控制 Web 服务器软件,并使用 Telegram 作为通信渠道。
“在 Sysrv-K 中观察到的一个新行为是它扫描 WordPress 配置文件及其备份以检索数据库凭据,并使用它来控制 Web 服务器,”Microsofties 在一系列文章中写道 推文. “Sysvr-K 更新了通信功能,包括使用 Telegram 机器人的能力。”
Sysrv-K 和以前的变种一样,也会扫描受感染机器上的 SSH 密钥、IP 地址和主机名,以便它可以使用这些信息通过 SSH 连接进行传播。 研究人员警告说,这些被入侵的系统可以相对容易地卷入远程控制的僵尸网络。
“我们强烈建议组织保护面向互联网的系统,包括及时应用安全更新和建立凭证卫生,”他们写道,并补充说他们的 Microsoft Defender for Endpoint natch 可以检测 Sysrv-K 和较旧的变体以及相关行为和有效载荷。
快速学习
Sysrv 于 2020 年 12 月被发现,此后发展迅速。 在一个 博文 在秋季,网络安全供应商 Cujo AI 的高级威胁研究员 Dorka Palotay 指出,蠕虫和加密矿工恶意软件经历了多次迭代。
它脱颖而出的一个方法是使用 Go 编程语言,它带来了简单的交叉编译功能——它有一个单一的代码库,可以为不同的架构输出可执行文件——而且它的大文件大小使得二进制文件很难逆向工程师,Palotay 写道。
“Sysrv 的核心是蠕虫和加密货币矿工,”她写道。 “这两个模块在其早期版本中位于不同的文件中,但其开发人员已将两者结合起来。蠕虫模块只是针对随机 IP 启动端口扫描以查找易受攻击的 Tomcat、WebLogic 和 MySQL 服务,并尝试使用硬编码密码字典攻击。”
随着僵尸网络的发展,添加了更多的漏洞利用代码来增强其蠕虫功能。 该恶意软件从一个简单的脚本文件开始,该文件针对潜在易受攻击的目标部署了漏洞利用模块。
“人们过去常说 Linux 没有恶意软件,”Palotay 写道。 “嗯,不仅过去 25 年不是这样,而且我们现在生活在这样一个时代,由于 Linux 作为操作系统在许多组织中的广泛使用,它与某些 Windows 端点一样成为威胁参与者的目标。而且,更重要的是,它可以作为流行的物联网设备的操作系统。”
她列出了超过两打 Sysrv 漏洞利用,这些漏洞对一系列软件套件有用,包括 Jboss、Adobe ColdFusion、Atlassian Confluence 和 Jira、各种 Apache 工具和 Oracle WebLogic。
“Sysrv 在其最初的活动中包含了一小部分漏洞利用。随着时间的推移,随着它的开发和改造,Sysrv 不断结合新的漏洞利用以更有效地传播,”Palotay 写道。
“有趣的是,我们不仅看到了被添加到代码中的漏洞,而且还看到了一些经历了几个开发阶段的特定漏洞。Sysrv 的开发人员在多个样本中更新了一些函数,直到它们达到令人满意的结果或干脆摆脱它们。使用了一些漏洞仅在一两个样本中,而其他样本被证明是有用的并被保留下来。” ®
