挖矿僵尸网络“WannaMine”将Linux系统主机纳入攻击范围

2019年8月22日，我国安全厂商腾讯公司发布报告，称挖矿僵尸网络“WannaMine”将Linux系统主机纳入攻击范围，可获取被感染主机的SSH连接记录，进而攻击该主机登录过的所有远程服务器，并释放挖矿木马和DDos木马等恶意软件。WannaMine最早于2017年被发现，采用弱口令爆破攻击等方式入侵主机进行恶意挖矿，并利用“永恒之蓝”等多个服务器组件漏洞发起攻击。报告称，自2019年6月起，WannaMine在国内呈现新的快速增长趋势，受影响行业主要为工业企业、互联网企业和教育行业。报告指出，此次发现的攻击事件中，WannaMine已开始将攻击目标转向Linux系统，攻击者通过获取被感染主机的SSH连接记录，攻击该主机登录过的所有远程服务器，以达到横向传播的目的。攻击者植入的Shell脚本可检测被感染主机中的“安全狗”、“安骑士”、“云锁”、“悬镜卫士”等12种服务器防护软件，并针对每一款软件进行清理，实施停止服务、结束进程、删除文件、卸载软件等操作。为了实现持久化攻击，攻击者将守护脚本代码添加至Linux启动项，安装为定时任务运行。接着清除挖矿竞争软件，开启挖矿操作，安装brootkit后门(具有盗取root用户密码、隐藏文件和目录、隐藏进程、隐藏网络连接、反向连接后门、多线程端口扫描、HTTP下载、多线程SSH爆破等功能)，尝试利用Linux内核提权漏洞CVE-2016-5195获取系统Root权限。最后植入Linux平台DDoS木马“BillGates”，该木马具有伪装成Linux系统工具“ps”、“lsof”和“netstat”等进行隐藏自身、远程shell、作为客户端或服务器运行等特点，可通过接收远程指令对目标主机实施多种类型的DDoS攻击。