曾利用“驱动人生”软件传播的木马程序新变种新增利用大数据平台Hadoop Yarn未授权访问漏洞攻击方式
2020年10月28日,我国安全厂商腾讯公司发布报告,称曾利用“驱动人生”软件传播的木马程序近期再次更新,新增利用大数据平台Hadoop Yarn未授权访问漏洞攻击方式,可对云主机以及云上业务造成较大威胁。 曾利用“驱动人生”软件传播的木马攻击自2018年底以来一直处于活跃状态,期间不断增加其传播途径和攻击手段,攻击范围同时包含Windows系统和Linux系统。在此次更新后,攻击者通过利用Yarn未授权访问漏洞执行远程命令,在失陷的Linux系统中下载运行门罗币挖矿木马程序,并添加crontab定时任务实现挖矿活动的持久化。同时消除系统中的其它挖矿木马程序,并利用SSH爆破实现横向移动。 鉴于该木马目前已具有很强的传播能力和攻击性,且仍处于更新活跃状态,持续对我国用户形成较大的潜在威胁,建议我国广大用户增强网络安全防范意识,确保安装安全防护软件并将病毒库更新至最新版本;切勿打开具有迷惑性的邮件及其附件;检查并确认安装上述漏洞的官方补丁程序;对外部网络关闭445、135、137、139等端口及不必要的网络服务;同时,将服务器密码改为高强度密码,避免攻击者针对弱口令进行暴力破解。