近日,華為云安全團隊檢測到一例全新的標簽為“covid19”的redis木m程序。該木m會卸載許多云平臺的主機安全監控和防護軟件,從而控制云主機,并進行橫向滲透,嘗試控制更多主機,嚴重危害用戶的主機安全。目前,華為云不受該木m影響,并且旗下的企業主機安全服務提供了檢測和攔截該木m的功能。
一、發現過程
華為云安全團隊通過全網聯動的態勢感知平臺,于近日自動檢測到了該木馬活動的痕跡,云平臺隨即自動啟動了防御機制,并捕獲了該木m的樣本。
安全團隊對木馬進行了分析,并把威脅情報共享給了企業主機安全服務,使得服務具備了木馬的檢測和攔截能力,供用戶保護自己的云主機。
二、木馬分析
1、傳播路徑
該木m主要通過用redis不安全配置,在目標主機內寫入木m可執行文件進行傳播,其過程為:
通過3個用戶名嘗試與redis建立連接;
連接成功后即利用redis漏洞寫crontab文件;
下載執行teamtnt4.sh文件;
teamtnt4.sh文件會下載挖礦程序并進行執行;
掃描6379端口進行傳播;
掃描本地已經連接過的ip以及key,嘗試通過ssh感染周邊的機器。
2、木m功能
通過捕獲的木m樣本,經驗證,該木馬主要包含自動執行門羅幣挖礦和反病毒功能。其中,反病毒功能能夠主動檢測、關閉和卸載云主機安全監控和防護軟件,使得用戶的主機失去安全保護。
每個文件功能:
3、影響范圍
所有暴露在公網的、存在不當配置redis的服務的主機。
三、云上檢測和防護方案
對云上用戶,企業主機安全服務提供了對該木m的防護,步驟如下:
1、在需要防護的云主機上,安裝企業主機安全服務客戶端(agent);
2、開啟防護后,用戶可收到威脅告警;
3、收到告警后,用戶可使用隔離查殺功能,如下截圖,即可對該木m進行攔截。
四、選擇華為云,就選擇了安全可靠
每次嚴重安全風險爆發,華為云都會第一時間對漏洞、木m等進行跟蹤、分析和驗證,為您提供合適的防護手段。

云大帶寬服務器租用價格
狀態不正確可能沒有通過實名認證
租阿里云云服務器
使用高防服務器有哪些效果？
百度網盤下載慢怎么解決 百度網盤的提速方法
區域名酒引領俱樂部營銷模式 進入服務體驗圈粉時代
阿里云服務器怎么設置ftp
一個公司可購買幾個域名 企業購買域名有限制嗎