MAC设备遭遇门罗币挖矿软件入侵 安全资讯

信息发布员 5月前 125

事件简介:

苹果的Mac系统真的不会中毒吗?这个神话早已经被打破,现在Mac也已经被黑客当成开发目标。现如今恶意挖矿事件层出不穷。尽管加密货币的价格经历了狂欢后的暴跌之痛,但挖矿仍是网络黑产团伙在入侵服务器之后,成为最直接的变现手段。随着挖矿团伙产业化,越来越多的漏洞在公布后,在极短时间内就被用于入侵挖矿;在可预见的未来,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续,已被入侵挖矿的机器也随时可能被挖矿攻击者当成下一轮攻击的。

本次在瀚思大数据安全智能分析平台检测到多台搭载MacOS系统主机发起矿池登录请求入侵行为。具体详情如下。

案例详情:

经过瀚思安全分析人员对告警内容进行溯源后,发现内网地址发起的连接请求中payload部分的格式和字段与矿池连接协议stratum一致,证实该机器在向矿池发起了一个域名(safaf4hgjdn.space)查询,该域名通过情报查询证实为macos平台的的矿池域名,IOC为132.148.245.101safaf4hgjdn.space:5566。利用tomcat和java rmi 漏洞扫描全球网络,用来发现被入侵的机器。

经过简要分析,怀疑该攻击源起于第三方安装包,一般受害用户都有从苹果电脑上安装第三方dmg的经历。在解压安装过程中,运行带有“XMRig门罗币”源程序的进程,内网机器存在挖矿木马并发起矿池登录请求,但矿池在分析时间段内未开放端口,所以未产生挖矿行为。但登录结果失败,索性未造成损失。

处理流程图

安全建议

如今尽管币价低迷,但由于经济形势承受下行的压力,可能为潜在的犯罪活动提供诱因。随着挖矿和漏洞利用相关知识的普及,恶意挖矿的入场玩家可能趋于稳定且伴有少量增加。 基于这种状况,为企业和个人提供如下安全建议:

1、安全系统中最薄弱的一环在于人,最大的安全问题也往往出于人的惰性,因此弱密码、爆破的问题占了挖矿原因的半壁江山。无论是企业还是个人,安全意识教育必不可少;

2、0-Day 漏洞修复的窗口期越来越短,企业需要提升漏洞应急响应的效率,一方面是积极进行应用系统更新,另一方面是关注产品的安全公告并及时升级,同时也可以选择购买安全托管服务提升自己的安全水位;

3、伴随着云上弹性的计算资源带来的便利,一些非 Web 类的网络应用暴露的风险也同步上升,安全运维人员应该重点关注非 Web 类的应用伴随的安全风险,或者选择购买带 IPS 功能的防火墙产品,第一时间给 0-Day 漏洞提供防护。

转自:https://www.hansight.com/blog/case_analysis.html


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者信息发布员少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者信息发布员少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:涉疫情个人信息和数据安全保护态势分析报告
下一篇:DLA Piper:2020年1月数据泄露调查报告
人生的价值,并不是用时间,而是用深度去衡量的。
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回