IT商業網-解讀信息時代的商業變革
當前位置: 首頁 > 云計算 > 正文

華為云發現“Covid19” 新木馬,企業主機安全服務提供檢測攔截功能

2020-06-15 10:00:12 來源: IT168   

  近日,華為云安全團隊檢測到一例全新的標簽為“Covid19”的Redis木馬病毒程序。該木馬會卸載許多云平臺的主機安全監控和防護軟件,從而控制云主機,并進行橫向滲透,嘗試控制更多主機,嚴重危害用戶的主機安全。目前,華為云不受該木馬影響,并且旗下的企業主機安全服務提供了檢測和攔截該木馬的功能。

  一、發現過程

  華為云安全團隊通過全網聯動的態勢感知平臺,于近日自動檢測到了該木馬活動的痕跡,云平臺隨即自動啟動了防御機制,并捕獲了該木馬的樣本。

  安全團隊對木馬進行了分析,并把威脅情報共享給了企業主機安全服務,使得服務具備了木馬的檢測和攔截能力,供用戶保護自己的云主機。

  二、木馬分析

  1、傳播路徑

  該木馬主要通過用redis不安全配置,在目標主機內寫入木馬可執行文件進行傳播,其過程為:

  通過3個用戶名嘗試與Redis建立連接;

  連接成功后即利用Redis漏洞寫crontab文件;

  下載執行TeamTNT4.sh文件;

  TeamTNT4.sh文件會下載挖礦程序并進行執行;

  掃描6379端口進行傳播;

  掃描本地已經連接過的ip以及key,嘗試通過ssh感染周邊的機器。

  2、木馬功能

  通過捕獲的木馬樣本,經驗證,該木馬主要包含自動執行門羅幣挖礦和反病毒功能。其中,反病毒功能能夠主動檢測、關閉和卸載云主機安全監控和防護軟件,使得用戶的主機失去安全保護。

  每個文件功能:

  3、影響范圍

  所有暴露在公網的、存在不當配置Redis的服務的主機。

  三、云上檢測和防護方案

  對云上用戶,企業主機安全服務提供了對該木馬的防護,步驟如下:

  1、在需要防護的云主機上,安裝企業主機安全服務客戶端(agent);

  2、開啟防護后,用戶可收到威脅告警;

  3、收到告警后,用戶可使用隔離查殺功能,如下截圖,即可對該木馬進行攔截。

  四、選擇華為云,就選擇了安全可靠

  每次嚴重安全風險爆發,華為云都會第一時間對漏洞、木馬等進行跟蹤、分析和驗證,為您提供合適的防護手段。

原標題:華為云發現“Covid19” 新木馬,企業主機安全服務提供攔截

免責聲明: IT商業新聞網遵守行業規則,本站所轉載的稿件都標注作者和來源。 IT商業新聞網原創文章,請轉載時務必注明文章作者和來源“IT商業新聞網”, 不尊重本站原創的行為將受到IT商業新聞網的追責,轉載稿件或作者投稿可能會經編輯修改或者補充, 如有異議可投訴至:[email protected]
微信公眾號:您想你獲取IT商業新聞網最新原創內容, 請在微信公眾號中搜索“IT商業網”或者搜索微信號:itxinwen,或用掃描左側微信二維碼。 即可添加關注。
標簽:

品牌、內容合作請點這里: 尋求合作 ??

相關閱讀RELEVANT

华融配资