近日,华为云安全团队检测到一例全新的标签为“Covid19”的Redis木马病毒程序。该木马会卸载许多云平台的主机安全监控和防护软件,从而控制云主机,并进行横向渗透,尝试控制更多主机,严重危害用户的主机安全。目前,华为云不受该木马影响,并且旗下的企业主机安全服务提供了检测和拦截该木马的功能。

一、发现过程

华为云安全团队通过全网联动的态势感知平台,于近日自动检测到了该木马活动的痕迹,云平台随即自动启动了防御机制,并捕获了该木马的样本。

安全团队对木马进行了分析,并把威胁情报共享给了企业主机安全服务,使得服务具备了木马的检测和拦截能力,供用户保护自己的云主机。

二、木马分析

1、传播路径

该木马主要通过用redis不安全配置,在目标主机内写入木马可执行文件进行传播,其过程为:

通过3个用户名尝试与Redis建立连接;

连接成功后即利用Redis漏洞写crontab文件;

下载执行TeamTNT4.sh文件;

TeamTNT4.sh文件会下载挖矿程序并进行执行;

扫描6379端口进行传播;

扫描本地已经连接过的ip以及key,尝试通过ssh感染周边的机器。

2、木马功能

通过捕获的木马样本,经验证,该木马主要包含自动执行门罗币挖矿和反病毒功能。其中,反病毒功能能够主动检测、关闭和卸载云主机安全监控和防护软件,使得用户的主机失去安全保护。

每个文件功能:

3、影响范围

所有暴露在公网的、存在不当配置Redis的服务的主机。

三、云上检测和防护方案

对云上用户,企业主机安全服务提供了对该木马的防护,步骤如下:

1、在需要防护的云主机上,安装企业主机安全服务客户端(agent);

2、开启防护后,用户可收到威胁告警;

3、收到告警后,用户可使用隔离查杀功能,如下截图,即可对该木马进行拦截。

四、选择华为云,就选择了安全可靠

每次严重安全风险爆发,华为云都会第一时间对漏洞、木马等进行跟踪、分析和验证,为您提供合适的防护手段。在使用华为云的过程中,遇到任何安全问题,您都可随时联系我们:4000-955-988按1转1或者950808按1转1。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-12-25 16:21:10
市场情报 对话先进数通:深耕金融20余年,以华为云为底座推动金融数智化转型
今年10月底举行的中央金融工作会议首次提出“加快建设金融强国”目标,强调推动我国金融高质量发展,为经济社会发展提供高质量服务。 <详情>
2023-06-08 16:36:49
市场情报 华为云张平安:国产数据库应立足中国,走向世界,为全世界企业、政府数字化服务
6月7日,在华为全球智慧金融峰会2023上,华为常务董事、华为云CEO张平安正式发布了新一代分布式数据库GaussDB <详情>
2023-06-08 16:34:28
市场情报 发力数据库国产化改造,华为云GaussDB数据库为中国人保数字化转型赋能
6月7日,华为全球智慧金融峰会2023成功举办,会上华为正式发布国内首款软硬协同、全栈自主的分布式数据库GaussDB,以更好满足金融以及更多关键行业对数据库的全场景业务诉 <详情>
2023-06-08 16:33:19
市场情报 华为云GaussDB打造坚实数据底座,护航兴业证券自主创新
6月7日,在2023年华为全球金融峰会上,华为正式推出国内首款软硬协同、全栈自主的分布式数据库GaussDB <详情>
2023-06-08 16:31:34
市场情报 华为云GaussDB携手华夏银行打造坚实数据底座
6月7日,在华为全球智慧金融峰会2023上,华为正式发布国内首款软硬协同、全栈自主的分布式数据库GaussDB,以更好满足金融以及更多关键行业对数据库的全场景业务诉求。 <详情>