华为云发现“Covid19” 新木马,企业主机安全服务提供拦截
近日,华为云安全团队检测到一例全新的标签为“Covid19”的Redis木马病毒程序。该木马会卸载许多云平台的主机安全监控和防护软件,从而控制云主机,并进行横向渗透,尝试控制更多主机,严重危害用户的主机安全。目前,华为云不受该木马影响,并且旗下的企业主机安全服务提供了检测和拦截该木马的功能。 一、发现过程 华为云安全团队通过全网联动的态势感知平台,于近日自动检测到了该木马活动的痕迹,云平台随即自动启动了防御机制,并捕获了该木马的样本。 安全团队对木马进行了分析,并把威胁情报共享给了企业主机安全服务,使得服务具备了木马的检测和拦截能力,供用户保护自己的云主机。 二、木马分析 1、传播路径 该木马主要通过用redis不安全配置,在目标主机内写入木马可执行文件进行传播,其过程为: 通过3个用户名尝试与Redis建立连接; 连接成功后即利用Redis漏洞写crontab文件; 下载执行TeamTNT4.sh文件; TeamTNT4.sh文件会下载挖矿程序并进行执行; 扫描6379端口进行传播; 扫描本地已经连接过的ip以及key,尝试通过ssh感染周边的机器。 2、木马功能 通过捕获的木马样本,经验证,该木马主要包含自动执行门罗币挖矿和反病毒功能。其中,反病毒功能能够主动检测、关闭和卸载云主机安全监控和防护软件,使得用户的主机失去安全保护。 每个文件功能: 3、影响范围 所有暴露在公网的、存在不当配置Redis的服务的主机。 三、云上检测和防护方案 对云上用户,企业主机安全服务提供了对该木马的防护,步骤如下: 1、在需要防护的云主机上,安装企业主机安全服务客户端(agent); 2、开启防护后,用户可收到威胁告警; 3、收到告警后,用户可使用隔离查杀功能,如下截图,即可对该木马进行拦截。 四、选择华为云,就选择了安全可靠 每次严重安全风险爆发,华为云都会第一时间对漏洞、木马等进行跟踪、分析和验证,为您提供合适的防护手段。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 嘀嗒出行全方位落实组织保障 九大部门合力保障春运安全
- 许知远入驻快手,将于世界读书日当天开启直播
- 华为nova8 Pro评测:前置Vlog视频双镜头 开启创作新时代
- 三星Galaxy Note20系列:高效办公体验,商务人士必备神机
- 微信上“XX撤回一条消息并向你扔了一台锤子手机”的魔法是什
- 百度健康医典专家团成员李兰娟院士向厄瓜多尔介绍中国防疫经
- 众筹仅售999元!悠启走步机不足千元告别健身房
- 华硕发布新款 ZenBook S 13 OLED 笔记本 搭承R7 6800U
- 国家级AI大赛王者之争 中国人工智能大赛·语言与知识技术竞
- 2022 款 ThinkPad X1 Carbon X1 Yoga 已在日本发布