Diicot挖矿组织近期攻击活动分析
💡
原文中文,约4600字,阅读约需11分钟。
📝
内容提要
国家互联网应急中心(CNCERT)与安天科技集团股份有限公司(安天)发布报告,指出Diicot挖矿组织频繁发起攻击活动,已有600多台服务器受害。攻击者使用SSH暴力破解工具入侵设备,根据设备性能下载不同载荷进行传播和挖矿。报告详细介绍了攻击流程和恶意程序的功能与技术梳理。最后提供了挖矿木马的排查与清除方案,并给出了防范建议。报告还列出了相关IOC信息。
🎯
关键要点
- 国家互联网应急中心与安天科技集团发布报告,指出Diicot挖矿组织频繁攻击,已有600多台服务器受害。
- 攻击者使用SSH暴力破解工具入侵设备,根据设备性能下载不同载荷进行传播和挖矿。
- 攻击流程包括清除定时任务、结束竞品挖矿木马进程,并根据CPU核数执行不同操作。
- 初始攻击程序Payload为SHC加密的BASH脚本,具备清除定时任务和结束进程的功能。
- 传播程序Update会修改系统限制,下载端口扫描器和SSH暴力破解工具,进行设备扫描和入侵。
- 挖矿程序Opera为开源挖矿组件xmrig,通过创建服务和定时任务实现持久化运行。
- 提供了挖矿木马的排查与清除方案,包括识别恶意文件和删除服务、定时任务。
- 监测显示2023年3月至5月期间,挖矿木马日上线数最高达到200余台,累计感染600余台设备。
- 防范建议包括加强口令强度、及时更新补丁、开启日志、安装防护软件等。
- 报告列出了相关IOC信息,包括攻击者服务器IP和恶意文件哈希值。
🏷️
标签
➡️
