【性价之王】	【线路之王】	【价格之王】	【配置之王】
【免费之王】	【香港首推】	【梯子之王】	【独服之王】

华为云是华为公有云品牌，致力于提供专业的公有云服务，提供弹性云服务器、对象存储服务、软件开发云等云计算服务，以“可信、开放、全球服务”三大核心优势服务全球用户。

我们最近注意到另一种 Linux 威胁演变，它针对相对较新的云服务提供商 (CSP) 进行加密货币挖掘恶意软件和加密劫持攻击。在本文中，我们讨论了一种新的 Linux 恶意软件趋势，其中恶意行为者会部署代码来删除主要存在于华为云中的应用程序和服务。具体来说，恶意代码会禁用 hostguard 服务，这是一个“检测安全问题、保护系统并监控代理”的华为云 Linux 代理进程。恶意代码还包括 cloudResetPwdUpdateAgent，一个开源插件代理，允许华为云用户重置密码到弹性云服务（ECS）实例， 默认安装在公共镜像上. 由于攻击者在其 shell 脚本中存在这两项服务，我们可以假设他们专门针对华为云内的易受攻击的 ECS 实例。

竞选演变

在研究此活动时，我们偶然发现了之前在 2020 年腾讯博客中讨论过的活动中涉及的旧样本 。该活动的样本针对容器环境。有两个特定的例程支持这一发现：第一个是这次攻击的一个有效载荷丢弃了一个网络扫描器，以将其他主机映射到通常用作容器 API 的端口。第二个是创建防火墙规则以确保这些容器 API 端口将打开的功能。在我们发现的较新样本中，防火墙规则创建仍然作为遗留代码存在。但是，它已被评论，因此没有创建规则。我们观察到较新的样本仅针对云环境。

我们以前从未见过的另一个有趣的功能是，在这次活动中，恶意行为者一直在寻找特定的公钥，这将使他们能够从受感染的系统中杀死竞争对手并更新自己的密钥。与我们迄今为止看到的任何其他样本和活动相比，该活动对操作系统进行了全面的清理。它会寻找以前感染的迹象和可以阻止其恶意程序的安全工具。不仅如此，它还使用简单而有效的命令在执行感染程序后进行清理。

大多数来源的示例都遵循相同的例程，即以无特定顺序声明多个函数。在调用函数的文件末尾，它遵循特定顺序：它执行初始连接检查，确保允许传出连接，并检查 DNS 服务器是否是公共的（8.8.8.8 和 1.1.1.1）。通常执行这样的例程以确保在请求恶意 URL 时不会检测到它们，并且实现了域名系统 (DNS) 安全拒绝的域转换。

在第一次连接检查之后，然后调用下一组函数来准备系统。它首先删除竞争对手制造的任何感染痕迹，以避免共享计算资源。这种行为以前曾被发现并记录在案，但这次特定的活动不仅仅涉及在受感染系统中维护访问权限。

在进一步分析此活动后，我们发现了一个有趣的观察结果：威胁行为者非常了解他们的竞争对手。他们知道竞争对手用来维持访问的用户。这就是为什么他们确保在创建自己的用户之前先检查并删除竞争对手的用户。

从系统中删除不必要的用户后，下一步是创建几个自己的用户。这是我们在其他针对云环境的示例中部分看到的另一种行为。然而，该活动的不同之处在于，它使用更通用、不显眼的名称（例如“系统”和“记录器”）创造了更多用户。使用诸如此类的用户名可能会使缺乏经验的 Linux 分析师误以为这些用户是合法用户。

另一个独特的行为是，在创建用户期间，脚本会将他们添加到 sudoers 列表中，以授予他们对受感染系统的管理权限。

黑客团队还添加了他们自己的 ssh-rsa 密钥，使他们能够重复登录受感染的系统。在进行系统修改后，他们会添加特殊权限以禁止对这些文件进行进一步修改。这确保了他们创建的恶意用户无法被删除或修改。

此活动的另一个有趣方面是它安装了洋葱路由器 (Tor) 代理服务。负载稍后将使用它来匿名化恶意软件建立的恶意连接。

活动有效载荷和升级的功能

该脚本部署了两个可执行和可链接格式 (ELF) 二进制文件 — linux64_shell 和 xlinux。

linux64_shell

二进制文件本身被打包和混淆，可执行文件的终极打包程序 (UPX) 打包程序已被使用，但随后二进制文件被篡改，以使分析更加困难并欺骗一些自动化工具集。

仔细观察，我们可以看到另一个带有额外数据的二进制文件被附加到文件中。

附加的二进制文件是一个已编译的 CrossC2 通信库，可以使用以下函数直接与 CobaltStrike 的模块交互：

cc2_rebind_http_get_recvcc2_rebind_http_post_sendcc2_rebind_post_protocolcc2_rebind_http_get_发送

成功解包后，可执行文件继续其控制流，其设计目的是使分析人员不易理解并且充满条件跳转。

此时，恶意软件会尝试在端口 40443 上使用 IP 地址 45[.]76[.]220[.]46 连接到 C&C。这为攻击者提供了 shell 访问权限。

linux系统

第二个二进制文件是一个 Go 编译的二进制文件，实现了kunpeng 框架中的几个模块 。它充当漏洞扫描器，利用弱点并部署初始恶意脚本。

1. 该二进制文件通过向以下 URL 103[.]209[.]103[.]16:26800/api/postip 发送 HTTP POST 请求来通知恶意行为者有关受感染机器的信息

 

2. 将自身复制到 /tmp/iptablesupdate 并删除持久性脚本

3. 二进制文件以“安全”扫描开始。一旦发现弱点，它就会利用它并部署其有效载荷

受感染的系统会扫描以下漏洞和安全弱点：

SSH 弱密码Oracle 融合中间件的 Oracle WebLogic Server 产品中的漏洞 (CVE-2020-14882)Redis 未授权访问或弱密码PostgreSQL 未授权访问或弱密码SQLServer弱密码MongoDB 未授权访问或弱密码文件传输协议l (FTP)弱密码

结论

加密货币矿工是 Linux 威胁环境中部署最多的有效载荷之一。近年来，我们已经观察到的恶意行为者，如 蒂岑茨 和 Kinsing 推出 cryptojacking 活动和cryptocurrency采矿恶意软件，受感染资源的计算能力竞争。

在 2020 年和 2021 年，我们已经看到这些网络犯罪集团如何始终以云环境为目标，并在其活动中添加以云为中心的功能，包括 凭据收集 以及移除与阿里云和腾讯云相关的云安全服务 。

云服务配置错误可能会导致加密货币挖掘和加密劫持攻击发生。我们监测到的大多数攻击都是因为在云上运行的服务具有 API 或 SSH 凭证薄弱，或者具有非常宽松的配置，攻击者可以滥用这些配置，使他们能够在无需利用任何漏洞的情况下渗透到系统中。在这种情况下，错误配置是一个常见的切入点，云用户应该像对待漏洞和恶意软件一样考虑和关注错误配置。

我们的团队发表了多篇博客和一篇研究论文，展示了恶意行为者如何针对特定的云提供商。在这篇博客中，我们看到了网络犯罪分子针对华为云等其他相对较新的 CSP 的证据。由于攻击者也在迁移到云，资源的可用性和可扩展性变得更加宝贵，因为他们的大多数攻击通常会在其他恶意程序中部署加密劫持恶意软件。

[华为云]历史优惠活动内容

V5.NET：香港华为云专线，7折优惠，自营机房，不限流量，月付318元起

#特惠#数脉科技：香港CN2+BGP、华为云精品网线路特价独服，首月8折优惠

#优惠#野草云：香港CN2独服月付299起，5Mbps不限流量VPS年付138，提供华为云专

#4月优惠#野草云：香港BGP独服月付199元起，华为云混合线路月付399起，CN2线路VP

#优惠活动#￥110/3月 4G内存 40G硬盘 1M不限量 KVM 华为云

#免费VPS#华为云抽一个月免费VPS，可选择windows系统

#真实测评#华为云抽奖得2核4G免费VPS测评

#华为云创校园计划#99元/年 1 核CPU 2G内存 40G硬盘 1M带宽

#促销#华为云：云服务器1折优惠中，1核/2G/1M套餐年付99元，云服务器免费试用60天

#618#华为云：超低价国内VPS，1核/1G/1M年付88元，送200元无门槛代金券

#双十一#华为云：1核/2G/1Mbps/年付88元，COM域名1年只要18元，满额送华为M

#福利#华为云：免费领取2500代金券，1核/2G/5Mbps/香港VPS可免费领9个月

#优惠#ZJI：香港华为云cn2线路物理机全新上线，购买立减300元

V5.NET：新上香港华为云专线服务器，云服务及独服终身7折优惠

ZJI：新上香港葵湾/阿里云/华为云 一机三线独立服务器，8折优惠，月付800元起

天下云：阿里云、华为云、腾讯云、百度云云服务器比价器，您的省钱参谋

参与天下云“云服务器比价器改进计划”领取300元华为云无门槛云产品代金券

数脉科技：首月五折，全场可用，E3-1230v2/16G/华为云&阿里云CN2专线/首月16

ZJI：新上华为云专线E3配置物理机，购买终身立减300元，月付低至450元

V5.NET：香港华为云专线，7折优惠，自营机房，不限流量，月付318元起

#特惠#数脉科技：香港CN2+BGP、华为云精品网线路特价独服，首月8折优惠

#优惠#野草云：香港CN2独服月付299起，5Mbps不限流量VPS年付138，提供华为云专

#4月优惠#野草云：香港BGP独服月付199元起，华为云混合线路月付399起，CN2线路VP

#优惠#ZJI：香港华为云cn2线路物理机全新上线，购买立减300元

V5.NET：新上香港华为云专线服务器，云服务及独服终身7折优惠

ZJI：新上香港葵湾/阿里云/华为云 一机三线独立服务器，8折优惠，月付800元起

天下云：阿里云、华为云、腾讯云、百度云云服务器比价器，您的省钱参谋

参与天下云“云服务器比价器改进计划”领取300元华为云无门槛云产品代金券

数脉科技：首月五折，全场可用，E3-1230v2/16G/华为云&阿里云CN2专线/首月16

ZJI：新上华为云专线E3配置物理机，购买终身立减300元，月付低至450元

V5.NET：香港华为云专线，7折优惠，自营机房，不限流量，月付318元起

#特惠#数脉科技：香港CN2+BGP、华为云精品网线路特价独服，首月8折优惠

#优惠#野草云：香港CN2独服月付299起，5Mbps不限流量VPS年付138，提供华为云专

#4月优惠#野草云：香港BGP独服月付199元起，华为云混合线路月付399起，CN2线路VP

#优惠#ZJI：香港华为云cn2线路物理机全新上线，购买立减300元

V5.NET：新上香港华为云专线服务器，云服务及独服终身7折优惠

ZJI：新上香港葵湾/阿里云/华为云 一机三线独立服务器，8折优惠，月付800元起

天下云：阿里云、华为云、腾讯云、百度云云服务器比价器，您的省钱参谋

参与天下云“云服务器比价器改进计划”领取300元华为云无门槛云产品代金券

数脉科技：首月五折，全场可用，E3-1230v2/16G/华为云&阿里云CN2专线/首月16

ZJI：新上华为云专线E3配置物理机，购买终身立减300元，月付低至450元

V5.NET：香港华为云专线，7折优惠，自营机房，不限流量，月付318元起

#特惠#数脉科技：香港CN2+BGP、华为云精品网线路特价独服，首月8折优惠

#优惠#野草云：香港CN2独服月付299起，5Mbps不限流量VPS年付138，提供华为云专

#4月优惠#野草云：香港BGP独服月付199元起，华为云混合线路月付399起，CN2线路VP

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

华为云双十一活动，低至1.2折，还有11111元礼包相送

zjinet→香港华为云线路物理机 450元/月 E3-1231v3/16g内存/480gS

zjinet→香港华为云线路物理机 450元/月 E3-1231v3/16g内存/480gS

V5Net→香港物理机 走华为云香港专线 345元/月 e5-2630v2/16G内存/24