安全研究員于上周四檢測到名為Capoae的惡意軟件,該惡意軟件利用多個漏洞攻擊 Linux系統和多個Web應用程序。
Capoae惡意軟件是用Golang編程語言編寫的,由于它具有跨平臺功能,因此很快成為公司的最愛。
此外,它還通過已確認的漏洞和薄弱的官方憑據進行傳播。但是,Capoae利用的漏洞附加:
CVE-2020-14882:這是 Oracle WebLogic Server 中的遠程代碼執行 (RCE) 缺陷。
CVE-2018-20062:這是ThinkPHP中的另一個 RCE 缺陷。
惡意軟件的主要動機是利用我們上面所暗示的脆弱系統和薄弱的管理憑證來傳播。
除了傳播加密挖礦惡意軟件攻擊,網絡安全分析師還發現,SIRT“蜜罐”還受到PHP惡意軟件的影響,這些惡意軟件是通過一個名為“Download-monitor”的WordPress插件的擴展后門出現的。
現在要將主Capoae有效負載部署到/tmp,這個插件被用作一個通道,一旦完成,一個3MB的UPX打包二進制文件就被解碼了。所有這些步驟都是為了安裝XMRig來挖掘Monero (XMR)加密貨幣。
二進制中有什么?
檢測到惡意軟件后,網絡安全當局展開了強有力的調查,以了解有關這些漏洞的所有詳細信息。為此,他們將惡意軟件與“upx -d”一起解壓縮,以正確查看實際的二進制結構。
研究人員發現了更多關于漏洞的關鍵細節,他們注意到,主要結構揭示了它的功能是針對少數知名的漏洞,并具有內容管理框架。
Golang惡意軟件可以在VirusTotal中找到,其起源日期為2021年8月9日:
$ ./redress -compiler Capoae
編譯器版本:go1.15.4 (2020-11-05T21:21:32Z)
然而,Capoae活動在攻擊期間使用了幾個漏洞和不同的方法,這突顯出這些威脅行為者的意圖是如何在盡可能多的機器上獲得立足點。
軟件系統的安全漏洞成為網絡犯罪分子發動攻擊的“輔助工具”。尤其網絡犯罪分子通過升級或更新惡意軟件的攻擊手段,在受害者未知的情況下潛入系統并發起網絡攻擊,這就為病毒監測系統帶來很大困擾。因此在軟件開發過程中加強安全性建設,提高底層代碼質量,是幫助軟件抵御網絡攻擊的有效手段。尤其超6成安全漏洞與代碼有關,因此在編碼時使用靜態代碼檢測工具輔助開發人員第一時間查找并修正代碼缺陷和不足,可以大大提高軟件自身安全性。在網絡攻擊日益多樣化的今天,提高軟件安全性已成為繼殺毒軟件防火墻等防御措施之后的又一有效手段。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/120829.html
