IT商业网-解读信息时代的商业变革
当前位置: 首页 > 云计算 > 正文

华为云发现“Covid19” 新木马,企业主机安全服务提供检测拦截功能

2020-06-15 10:00:12  来源: IT168    

  近日,华为云安全团队检测到一例全新的标签为“Covid19”的Redis木马病毒程序。该木马会卸载许多云平台的主机安全监控和防护软件,从而控制云主机,并进行横向渗透,尝试控制更多主机,严重危害用户的主机安全。目前,华为云不受该木马影响,并且旗下的企业主机安全服务提供了检测和拦截该木马的功能。

  一、发现过程

  华为云安全团队通过全网联动的态势感知平台,于近日自动检测到了该木马活动的痕迹,云平台随即自动启动了防御机制,并捕获了该木马的样本。

  安全团队对木马进行了分析,并把威胁情报共享给了企业主机安全服务,使得服务具备了木马的检测和拦截能力,供用户保护自己的云主机。

  二、木马分析

  1、传播路径

  该木马主要通过用redis不安全配置,在目标主机内写入木马可执行文件进行传播,其过程为:

  通过3个用户名尝试与Redis建立连接;

  连接成功后即利用Redis漏洞写crontab文件;

  下载执行TeamTNT4.sh文件;

  TeamTNT4.sh文件会下载挖矿程序并进行执行;

  扫描6379端口进行传播;

  扫描本地已经连接过的ip以及key,尝试通过ssh感染周边的机器。

  2、木马功能

  通过捕获的木马样本,经验证,该木马主要包含自动执行门罗币挖矿和反病毒功能。其中,反病毒功能能够主动检测、关闭和卸载云主机安全监控和防护软件,使得用户的主机失去安全保护。

  每个文件功能:

  3、影响范围

  所有暴露在公网的、存在不当配置Redis的服务的主机。

  三、云上检测和防护方案

  对云上用户,企业主机安全服务提供了对该木马的防护,步骤如下:

  1、在需要防护的云主机上,安装企业主机安全服务客户端(agent);

  2、开启防护后,用户可收到威胁告警;

  3、收到告警后,用户可使用隔离查杀功能,如下截图,即可对该木马进行拦截。

  四、选择华为云,就选择了安全可靠

  每次严重安全风险爆发,华为云都会第一时间对漏洞、木马等进行跟踪、分析和验证,为您提供合适的防护手段。

原标题:华为云发现“Covid19” 新木马,企业主机安全服务提供拦截

免责声明: IT商业新闻网遵守行业规则,本站所转载的稿件都标注作者和来源。 IT商业新闻网原创文章,请转载时务必注明文章作者和来源“IT商业新闻网”, 不尊重本站原创的行为将受到IT商业新闻网的追责,转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:post@itxinwen.com
微信公众号:您想你获取IT商业新闻网最新原创内容, 请在微信公众号中搜索“IT商业网”或者搜索微信号:itxinwen,或用扫描左侧微信二维码。 即可添加关注。
标签:

品牌、内容合作请点这里: 寻求合作 ››

相关阅读RELEVANT