新的Abcbot僵尸网络攻击中国云提供商

新的Abcbot僵尸网络攻击中国云提供商

安全研究人员发现了一个新的恶意软件僵尸网络，在过去几个月中，该网络专门针对中国云托管提供商的基础设施。

Abcbot僵尸网络

Cado Security在今天的一份报告中表示，该僵尸网络名为Abcbot，其目标是由阿里云、百度、腾讯和华为云等公司托管的服务器，这与趋势科技和奇虎360 Netlab之前的调查结果相呼应。

“我的理论是，华为云、腾讯和百度等较新的CSP不像AWS那样成熟，后者包括在以不安全方式部署云实例时自动发出警报，”Cado Security的Matt Muir告诉The Record。本周的一封电子邮件。

“阿里巴巴云当然存在的时间更长，因此其安全服务更加成熟，但值得注意的是，在趋势科技[最初]发现针对华为云的恶意软件之后，我们分析的新样本针对的是其他中国云提供商，”Muir补充道。

Abcbot的攻击通常针对这些公司托管的Linux服务器，这些服务器使用弱密码保护或运行未打补丁的应用程序。

一旦找到初始入口点，Abcbot就会部署一个禁用SELinux安全保护的Linux bash脚本，为攻击者创建后门，然后扫描受感染的主机以寻找其他恶意软件僵尸网络的迹象。

如果发现竞争恶意软件，Abcbot会杀死已知与其他僵尸网络相关的进程以及与加密挖掘操作相关的进程。

然后，它还采取了其他僵尸网络所没有的另一个步骤，即删除SSH密钥并仅保留自己的密钥以确保它们是唯一可以连接的。

Muir说，这种行为表明其他团体正在使用类似的技术，Abcbot开发人员也已经接受并决定阻止。或者，他们可能正在从之前的活动中删除自己的密钥。Cado研究人员分析的Abcbot样本仅包含将受感染系统作为Abcbot僵尸网络的一部分的功能。

但是，趋势科技之前分析的样本包括加密货币挖掘模块，而Netlab分析的样本包括DDoS攻击的功能。

考虑到Abcbot采取的杀死加密挖掘进程的步骤，它并没有自己产生；毕竟，它的最终目的可能是为攻击者产生加密货币利润。

目前，Cado和其他研究人员仍不清楚Abcbot僵尸网络的规模。

“鉴于恶意软件针对特定的CSP，这表明传播相当有限，”Muir说。

“传播方法（通过known_hosts的枚举）绝对可能意味着它已经传播到它最初打算针对的CSP的边界之外，”Cado安全研究人员补充道。