【安全资讯】Sysrv-hello僵尸网络使用多种漏洞武器大量攻击Linux、Windows主机

研究人员检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散，该安全漏洞为2020年10月Oracle官方公告修复，属于相对比较新的漏洞攻击武器。其攻击目标同时覆盖Linux和Windows操作系统。

Sysrv-hello僵尸网络挖矿前，恶意脚本还会尝试结束占用系统资源较多的进程，以独占系统资源，这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复，属于较新的漏洞攻击工具，因部分企业漏洞修复进度较慢，使得该团伙的攻击成功率较高。


该僵尸网络于2020年12月首次被国内安全研究人员发现，由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较新，仅仅用了一个多月时间，该僵尸网络已具有一定规模，对政企机构危害较大。

排查加固

文件：

Linux:

/tmp/network01

/tmp/sysrv

/tmp/flag.txt

Windows:

%USERPROFILE%\appdata\loacal\tmp\network01.exe

%USERPROFILE%\appdata\loacal\tmp\sysrv.exe

进程：

network01

sysrv

定时任务：

排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项

加固

Nexus，mysql，tomcat使用强密码

weblogic升级到最新版本