腾讯主机安全捕获Ks3_Miner木马通过爆破SSH入侵云服务器挖矿
腾讯主机安全(云镜)捕获Ks3挖矿木马攻击云服务器,攻击团伙通过扫描网络中大量开放的SSH服务,对其进行爆破攻击。成功后植入挖矿恶意脚本进行门罗币挖矿。因挖矿木马主脚本名为ks3,腾讯安全将其命名为Ks3_Miner,腾讯安全全系列产品已支持对Ks3挖矿木马的检测和查杀。
该挖矿木马作业时,会大量占用服务器资源,使云服务器无法提供正常的网络服务。同时,该木马也会结束其他挖矿木马进程,删除其他挖矿木马文件,以独占服务器资源。
Ks3_Miner恶意代码托管在ftp(144.217.45.47)地址内,地址内除挖矿模块外,还存在扫描工具、用于扫描的目标IP地址池超过1300万个,以及反弹shell脚本。观察其相关文件修改日期可知,该挖矿木马最早于2020年6月已开始活动。
Ks3挖矿木马执行成功后,会尝试进一步读取机器内历史登录凭据信息进行横向传播扩散。同时在主机内留下用于后门操作的免密登录配置项,添加名为.syslogs1q的后门账户,以方便后续继续远程登录控制失陷主机。
评论
推荐阅读