[科技资讯] F5安全研究院发现新型GoLang恶意软件借漏洞挖掘加密货币

最近，f5实验室的研究人员宣布了新发现的golang加密货币挖掘恶意软件。恶意软件攻击基于linux的服务器来挖掘xmr。研究人员估计，数千台机器已经被僵尸网络感染。

恶意软件利用不同漏洞的示例

发现恶意请求后为go语言编写的新恶意软件

2019年6月14日，f5研究人员在thinkphp(cve-2019-9082和cve unassigned)、Atlassian Conflict(CVE-2019-3396)和drupal(cve-2018-7600)(也称为druppalgeddon2)中检测到针对漏洞的恶意请求。请求中传递的有效负载试图通过发送相同的漏洞进行传播，并试图使用多个硬编码凭据连接到redis数据库，并通过ssh协议进行连接。最终目的是在服务器上安装加密货币挖掘恶意软件，感染其他服务器继续传播。这次攻击中利用的一些漏洞是常见的目标，但发送的恶意软件是用go(golang)语言编写的。值得注意的是，go是一种新的编程语言，并不经常用于创建恶意程序。

Go语言已经有近十年的历史，通常是大部分开发者合法使用的语言，所以用golang攻击恶意软件并不常见。2019年1月，分析并发布了早期golang恶意软件样本。

f5实验室研究人员捕获的样本不同于go中编写的zebrocy恶意软件变体和malwarebytes分析的窃取程序。经初步判断，样本似乎来自一种新的恶意软件，目前尚未被杀毒软件供应商收录，因为检测到这种恶意软件的杀毒软件将其归类为一般恶意软件类型。

针对linux服务器，恶意软件以七种方式传播

新的golang恶意软件专门针对linux服务器，并以七种不同的方式传播，包括四种类型的网络应用程序(两种用于thinkphp，一种用于drupal，一种用于合流)，ssh凭据枚举，redis数据库密码枚举，以及试图使用发现的ssh密钥连接到其他计算机。目前，安装加密挖掘软件的行为相当普遍，因此其传播技术的规模已经成为一个明显的特征。

f5研究人员在追踪恶意软件的来源时，发现攻击者使用在线剪贴板pastebin网站来托管矛头bash脚本，而恶意软件是在一个被入侵的中国电子商务网站上托管的。在追踪过程中，研究人员发现剪贴板和github上的账号是前几天创建的，克隆了一个基于golang的漏洞扫描项目，说明攻击者还在实验中。根据剪贴板和githhub上的用户名以及克隆项目，研究人员怀疑这次攻击可能是来自中国的黑客造成的。

在pastebin上传播恶意软件的用户信息示例

F5的观点:golang恶意软件建议应该注意新的安全风险

虽然这个恶意软件样本不是f5研究人员分析的最复杂的类型，但它足够独特，足以吸引注意力。然而，攻击者试图利用数量超过质量的模式来探索进入系统的方法，但这暴露了它的不成熟。

Golang恶意软件最早出现在2018年年中，2019年继续出现。因为go语言主要是开发者针对合法程序使用的，一般杀毒软件不包含。正因为如此，golang开始被恶意攻击者用来编写恶意软件，逐渐转向黑暗面，导致golang恶意软件开始出现在威胁场景中。

独特的威胁活动和恶意软件只是f5实验室不断检测到的威胁载体的一部分。有关技术细节，请访问f5labs网站博客。此外，作为f5旗下的权威安全研究机构，f5labs (https://www.f5/labs)致力于将应用威胁数据转化为可用的安全防护信息，并通过分析和共享安全威胁场景，为在线社区的安全做出贡献。