惡意軟件利用不同漏洞功能示例

發(fā)現(xiàn)惡意請求，為GO語言編寫的新型惡意軟件

2019年6月14日，F(xiàn)5研究人員檢測到針對ThinkPHP(CVE-2019-9082和CVE未分配)，Atlassian Confluence(CVE-2019-3396)和Drupal(CVE-2018-7600)(也稱為Druppalgeddon2)中漏洞的惡意請求。請求中傳遞的有效負(fù)載嘗試通過發(fā)送相同漏洞的方式進(jìn)行傳播，同時試圖使用多個硬編碼憑據(jù)連接到Redis數(shù)據(jù)庫并通過SSH協(xié)議連接。最終目的是通過上述方法將加密貨幣挖掘惡意軟件安裝至服務(wù)器，并感染其他服務(wù)器以繼續(xù)傳播。此次攻擊行為中所利用的部分漏洞為常見目標(biāo)，但發(fā)送的惡意軟件卻是用Go(GoLang)語言編寫。值得注意的是，Go是一種不常被用于創(chuàng)建惡意程序的新編程語言。

Go語言已有將近十年的歷史，通常被大多數(shù)開發(fā)者合法使用，因此使用GoLang進(jìn)行惡意軟件攻擊的活動并不常見。2019年1月，一個早期的GoLang惡意軟件樣本被分析并發(fā)布。

F5 Labs的研究人員捕獲的這一樣本與用Go編寫的Zebrocy惡意軟件變種和MalwareBytes分析的盜取程序不同。經(jīng)過初步判斷，該樣本似乎來自一款新的惡意軟件，而該惡意軟件目前尚未被反病毒軟件供應(yīng)商收錄，因?yàn)闄z測到這一惡意軟件的反病毒軟件將其歸為一般惡意軟件類型。

瞄準(zhǔn)Linux服務(wù)器，惡意軟件以七種傳播方式

該新型GoLang惡意軟件專門針對Linux服務(wù)器、通過七種不同的方式傳播：包括四類Web應(yīng)用程序(兩種針對ThinkPHP, 一種針對Drupal, 一種針對Confluence)、SSH憑據(jù)枚舉、Redis數(shù)據(jù)庫密碼枚舉，以及嘗試使用已發(fā)現(xiàn)的SSH密鑰連接其他計(jì)算機(jī)。由于目前安裝加密挖掘軟件的行為已相當(dāng)普遍，所以其傳播技術(shù)量級之大也成為一個明顯的特征。

隨著F5研究人員對該惡意軟件進(jìn)行追本溯源，發(fā)現(xiàn)攻擊者使用了在線剪貼板pastebin網(wǎng)站來托管spearhead bash腳本，惡意軟件已托管在一個被入侵的中國電子商務(wù)網(wǎng)站上。追查過程中研究人員發(fā)現(xiàn)，在剪切板和GitHub上的帳戶于幾天前創(chuàng)建，并克隆了一個基于Golang的漏洞掃描程序項(xiàng)目，這表明攻擊者仍在實(shí)驗(yàn)中。而根據(jù)剪貼板和GitHhub上的用戶名以及克隆項(xiàng)目推斷，研究員們懷疑這次攻擊可能是來自中國的黑客所為。

Pastebin上傳播惡意軟件的用戶信息示例

F5觀點(diǎn)：GoLang惡意軟件提示新的安全風(fēng)險應(yīng)引起注意

盡管這一惡意軟件樣本并不是F5研究人員分析過的最復(fù)雜的類型，但它所具有的獨(dú)特性足以引起關(guān)注。然而攻擊者嘗試使用量重于質(zhì)的模式來探索一種進(jìn)入系統(tǒng)的方法，卻暴露了它的不成熟。

GoLang惡意軟件首次出現(xiàn)是在2018年中期，并在2019年持續(xù)發(fā)生。由于Go語言主要被開發(fā)者用于合法程序，通常不會被反病毒軟件收錄，也正因如此，GoLang開始被惡意攻擊者用作編寫惡意軟件的語言，使其逐漸走向了“黑暗”的一面，致使Golang惡意軟件開始出現(xiàn)在威脅場景中。

具有獨(dú)特性的威脅活動和惡意軟件只是F5 Labs不斷檢測的一部分威脅載體。獲取詳細(xì)技術(shù)細(xì)節(jié)可訪問F5Labs網(wǎng)站博客。此外，作為F5旗下權(quán)威的安全研究機(jī)構(gòu)，F(xiàn)5Labs (https://www.f5.com/labs)致力于將應(yīng)用威脅數(shù)據(jù)轉(zhuǎn)化為可利用的安全防護(hù)信息，通過分析并分享安全威脅場景助益網(wǎng)絡(luò)社區(qū)安全。