主机越用越卡?警惕WorkMiner挖矿病毒来袭!
近日,天融信EDR安全团队收到多起WorkMiner挖矿病毒防御咨询。作为吞噬主机资源的“大户”,WorkMiner挖矿病毒主要针对Linux系统,通过控制主机的处理器、显卡等硬件,执行高负载的挖矿计算脚本进行挖矿,导致CPU或显卡的负载上升数倍,严重影响主机性能与业务正常运行。
经过天融信谛听实验室分析,发现黑客利用ssh弱口令攻击进入系统,生成并运行挖矿用的模块,添加计划任务,设置开机自启动,并利用内置的字典在内网执行ssh暴力破解实现横向传播,造成大面积主机感染。
目前,天融信终端威胁防御系统TopEDR、僵尸网络木马和蠕虫监测与处置系统TopTVD、高级威胁检测系统TopATD等产品已第一时间更新病毒库,精确防御该病毒,有效防止恶意攻击事件发生。
病毒入侵过程还原
该病毒采用UPX壳防止被逆向分析;
对病毒脱壳后静态处理,发现该病毒为go语言编写;
将黑客后端地址添加到防火墙规则中放行;
设置端口6881,连接黑客远端域名。
防护建议
建议定期检查系统SSH服务的口令强度,设置高强度口令以避免被暴力破解,并定期修改密码;
建议修改SSH服务22端口为非默认端口以降低被攻击的可能性;
已安装天融信EDR的用户更新病毒库即可对该挖矿病毒进行防御;
未安装天融信EDR防御软件用户可下载安装并进行病毒查杀防御;
及时修复系统及应用漏洞。
TopEDR获取方式
http://edr.topsec.com.cn
近期,TopEDR产品先后入围“2021央采杀毒软件采购项目”与“中国移动2021年至2024年终端安全软件集中采购项目”,更是印证了TopEDR在终端安全领域的技术实力与服务能力。目前,TopEDR已在政府、金融、运营商、教育、医疗、企业等行业广泛应用,为全行业客户、全应用场景提升终端安全防御能力。
天融信终端威胁防御系统
天融信终端威胁防御系统(TopEDR)集病毒查杀、漏洞修复、系统加固、网络防御、终端管控、资产管理、风险态势展示等功能于一身,为客户提供立体化的终端安全防护解决方案。TopEDR基于领先的虚拟沙盒技术对威胁行为进行深度分析,结合勒索诱捕、虚拟补丁、微隔离等主动防御技术,有效防御勒索、挖矿、免杀逃逸等行为,多维度防止病毒传播和横向感染,帮助客户快速检测、响应终端安全问题。
相·关·阅·读·
1
2
3
4
5