Muhstik 恶意软件:僵尸网络充分利用了漏洞
Table of Contents
什么是 Muhstik 恶意软件?
Muhstik 恶意软件是一种恶意软件,主要因其针对物联网 (IoT) 设备和基于 Linux 的服务器的能力而为人所知。Muhstik 于 2018 年首次被记录,因利用安全漏洞渗透系统而臭名昭著。该恶意软件因其伪装成合法系统进程以避免被发现的习惯而得名。它已被观察到出现在各种攻击活动中,利用 Web 应用程序中已知的安全漏洞来传播和感染新主机。
Muhstik 恶意软件会做什么?
Muhstik 恶意软件的恶意活动多种多样。其主要功能包括加密货币挖掘和发起分布式拒绝服务 (DDoS) 攻击。一旦入侵系统,Muhstik 就会通过劫持设备的处理能力来挖掘加密货币,这会大大降低系统速度并增加电力消耗。此外,它还可以向目标服务器发送大量流量,使其不堪重负并导致服务中断。这种双重功能使 Muhstik 成为受感染系统的多面且危险的威胁。
Muhstik 恶意软件的传播方式
Muhstik 恶意软件的传播很大程度上依赖于利用已知的安全漏洞。一个值得注意的例子是利用 CVE-2023-33246,这是 Apache RocketMQ 中的一个严重漏洞,CVSS 评分为 9.8。此漏洞允许远程和未经身份验证的攻击者通过操纵 RocketMQ 协议内容或使用更新配置功能来执行任意代码。一旦攻击者获得初始访问权限,他们就会从远程服务器执行 shell 脚本,然后下载 Muhstik 二进制文件(“pty3”)。该恶意软件通过将自身复制到多个目录并修改 /etc/inittab 文件以在系统启动时自动重启来确保持久性。
Muhstik 恶意软件想要做什么
Muhstik 恶意软件的主要目标是将受感染的设备纳入僵尸网络。然后,该僵尸网络可用于各种恶意目的,例如加密货币挖掘和 DDoS 攻击。通过征用大量设备的计算资源,Muhstik 可以通过加密货币挖掘获得可观的收入。此外,僵尸网络可以发起强大的 DDoS 攻击,从而破坏在线服务、造成经济损失并被用作勒索手段。
Muhstik 恶意软件攻击什么?
Muhstik 针对各种设备,尤其关注物联网设备和基于 Linux 的服务器。这些目标之所以被选中,通常是因为它们具有较高的漏洞和广泛的使用范围。该恶意软件利用 Web 应用程序和服务中的安全漏洞来获取初始访问权限。例如,Apache RocketMQ 最近因其严重的安全漏洞而成为攻击目标。Muhstik 能够收集系统元数据并通过安全外壳 (SSH) 横向移动,这进一步扩大了其在受感染网络中的覆盖范围。
预防措施
预防 Muhstik 恶意软件感染需要采取主动的网络安全措施。以下是一些关键措施:
- 定期更新:确保所有软件(尤其是 Web 应用程序和服务器软件,如 Apache RocketMQ)都更新到最新版本。应及时应用已知漏洞的补丁,以防止被利用。
- 网络分段:网络分段可以限制恶意软件在组织内的传播。通过隔离关键系统,可以降低恶意行为者横向移动的风险。
- 强身份验证:实施强身份验证机制,例如多因素身份验证 (MFA),以保护对敏感系统的访问。这降低了通过泄露的凭证进行未经授权访问的风险。
- 监控和审计:定期监控系统是否有异常活动,并审计日志以查找入侵迹象。早期检测有助于减轻感染的影响。
- 安全软件:使用全面的安全解决方案,包括恶意软件检测、入侵检测系统 (IDS) 和防火墙。这些工具可以提供额外的防御层,以抵御 Muhstik 等恶意软件。
- 用户教育:告知用户恶意软件的危害以及遵守安全最佳实践的必要性。网络钓鱼和社会工程是获取初始访问权限的常用技术。
通过了解 Muhstik 恶意软件并实施这些预防措施,组织可以显著降低感染风险并保护其系统免受这种多功能且持续的威胁。
