原标题:挖矿恶意软件「可卸载」阿里云、腾讯云「云安全产品」
“Rocke”团伙使用的恶意软件长本事可以规避多款云安全产品的检测
42最近捕获并研究了Rocke团伙使用的Linux恶意挖礦软件的新样本。普遍怀疑该恶意软件系列由Iron网络犯罪团伙开发它与我们在2018年9月报告的Xbash恶意软件也有关系。威胁分子Rocke最初由思科Talos安全团隊在2018年8月披露该团队的博文披露了许多引人注目的行为。本报告中描述的样本是在2018年10月收集的;从那时起该团伙使用的指挥和控制服務器已被关闭。
我们在分析过程中意识到Rocke团伙使用的这些样本采用了新的代码,卸载来自被感染的Linux服务器的五种不同的云安全保护和监控产品在我们的分析过程中,这些攻击并没有危及这些安全产品:相反攻击先获得对主机的全面管理控制权,然后滥用该全面管理控淛权来卸载这些产品就像合法管理员卸载那样。
这些产品由腾讯云和阿里云开发据我们所知,这是第一个拥有锁定并删除云安全产品嘚独特功能的恶意软件系列这也凸显了Gartner定义的云工作负载保护平台市场中的产品所面临的新挑战。
Rocke团伙使用的恶意挖矿软件
2018年7月底思科Talos最先报告了威胁分子Rocke。该威胁的最终目的是在被感染的Linux机器中挖掘门罗(Monero)数字货币
云安全社群欢迎加入,群主微信:guanhongyan1213(备注任职单位+职位否则不予通过)