騰訊主機安全(雲鏡)捕獲Ks3挖礦木馬攻擊雲服務器,攻擊團伙通過掃描網絡中大量開放的SSH服務,對其進行爆破攻擊。成功後植入挖礦惡意腳本進行門羅幣挖礦。因挖礦木馬主腳本名為ks3,騰訊安全將其命名為Ks3_Miner,騰訊安全全系列產品已支持對Ks3挖礦木馬的檢測和查殺。該挖礦木馬作業時,會大量佔用服務器資源,使雲服務器無法提供正常的網絡服務。同時,該木馬也會結束其他挖礦木馬進程,刪除其他挖礦木馬文件,以獨占服務器資源。 Ks3_Miner惡意代碼託管在ftp(144.217.45.47)地址內,地址內除挖礦模塊外,還存在掃描工具、用於掃描的目標IP地址池超過1300萬個,以及反彈shell腳本。觀察其相關文件修改日期可知,該挖礦木馬最早於2020年6月已開始活動。 Ks3挖礦木馬執行成功後,會嘗試進一步讀取機器內歷史登錄憑據信息進行橫向傳播擴散。同時在主機內留下用於後門操作的免密登錄配置項,添加名為.syslogs1q的後門賬戶,以方便後續繼續遠程登錄控制失陷主機。