Muhstik 惡意軟體:殭屍網路充分利用缺陷
Table of Contents
什麼是 Muhstik 惡意軟體?
Muhstik 惡意軟體是一種惡意軟體,主要因其能夠針對物聯網 (IoT) 裝置和基於 Linux 的伺服器而聞名。 Muhstik 於 2018 年首次被記錄,因利用安全漏洞滲透系統而臭名昭著。該惡意軟體因其偽裝成合法系統進程以避免檢測的習慣而得名。在各種攻擊活動中都觀察到它利用 Web 應用程式中已知的安全缺陷來傳播和感染新主機。
Muhstik 惡意軟體有什麼作用?
Muhstik 惡意軟體的惡意活動是多方面的。其主要功能包括加密貨幣挖礦和發動分散式阻斷服務(DDoS)攻擊。一旦滲透到系統中,Muhstik 就會透過劫持設備的處理能力來挖掘加密貨幣,這會顯著降低系統速度並增加電力消耗。此外,它還可能使目標伺服器充滿流量,使其不堪重負並導致服務中斷。這種雙重功能使 Muhstik 對受感染的系統構成多用途且危險的威脅。
Muhstik 惡意軟體如何傳播
Muhstik 惡意軟體的傳播很大程度上依賴於利用已知的安全漏洞。一個值得注意的例子是 CVE-2023-33246 的利用,這是 Apache RocketMQ 中的一個嚴重缺陷,CVSS 得分為 9.8。該漏洞允許遠端且未經身份驗證的攻擊者透過操縱RocketMQ協定內容或使用更新配置功能來執行任意程式碼。一旦攻擊者獲得初始存取權限,他們就會從遠端伺服器執行 shell 腳本,然後下載 Muhstik 二進位(“pty3”)。該惡意軟體透過將自身複製到多個目錄並修改 /etc/inittab 檔案以在系統啟動時自動重新啟動來確保持久性。
Muhstik 惡意軟體想要什麼
Muhstik 惡意軟體的主要目標是將受感染的裝置拉入殭屍網路。然後,該殭屍網路可用於各種邪惡目的,例如加密貨幣挖礦和 DDoS 攻擊。透過徵用眾多設備的運算資源,Muhstik 可以透過加密貨幣挖礦產生可觀的收入。此外,殭屍網路還可以發動強大的 DDoS 攻擊,從而破壞線上服務、造成經濟損失並被用作勒索手段。
Muhstik 惡意軟體攻擊什麼?
Muhstik 面向廣泛的設備,特別關注物聯網設備和基於 Linux 的伺服器。這些目標通常因其高脆弱性和廣泛使用而被選擇。該惡意軟體利用 Web 應用程式和服務中的安全漏洞來取得初始存取權限。例如,Apache RocketMQ 由於其嚴重的安全漏洞而成為最近的目標。 Muhstik 收集系統元資料並透過安全外殼 (SSH) 橫向移動的能力進一步擴大了其在受感染網路中的影響範圍。
預防措施
防止 Muhstik 惡意軟體感染需要採取主動的網路安全方法。以下是一些關鍵措施:
- 定期更新:確保所有軟體,尤其是 Web 應用程式和 Apache RocketMQ 等伺服器軟體,都更新到最新版本。應及時應用已知漏洞的修補程式以防止被利用。
- 網路分段:網路分段可以限制惡意軟體在組織內的傳播。透過隔離關鍵系統,您可以降低惡意行為者橫向移動的風險。
- 強式身分驗證:實施強式身分驗證機制,例如多重身分驗證 (MFA),以保護對敏感系統的存取。這降低了透過洩漏憑證進行未經授權存取的風險。
- 監控與稽核:定期監控系統是否有異常活動,並稽核日誌是否有妥協跡象。早期發現有助於減輕感染的影響。
- 安全軟體:使用全面的安全解決方案,包括惡意軟體偵測、入侵偵測系統 (IDS) 和防火牆。這些工具可以針對 Muhstik 等惡意軟體提供額外的防禦層。
- 使用者教育:告知使用者惡意軟體的危險以及遵守安全最佳實踐的必要性。網路釣魚和社會工程是實現初始存取的常用技術。
透過了解 Muhstik 惡意軟體並實施這些預防措施,組織可以顯著降低感染風險並保護其係統免受這種多功能且持續的威脅。
