【安全资讯】Sysrv-hello僵尸网络使用多种漏洞武器大量攻击Linux、Windows主机
研究人员检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散,该安全漏洞为2020年10月Oracle官方公告修复,属于相对比较新的漏洞攻击武器。其攻击目标同时覆盖Linux和Windows操作系统。
Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。
该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。
排查加固
文件:
Linux:
/tmp/network01
/tmp/sysrv
/tmp/flag.txt
Windows:
%USERPROFILE%\appdata\loacal\tmp\network01.exe
%USERPROFILE%\appdata\loacal\tmp\sysrv.exe
进程:
network01
sysrv
定时任务:
排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项
加固
Nexus,mysql,tomcat使用强密码
weblogic升级到最新版本
失陷指标(IOC)7
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享