首页 > 传媒 > 关键词  > 腾讯安全最新资讯  > 正文

腾讯安全:“挖矿僵尸”利用SaltStack漏洞入侵服务器,企业需加强防范

2020-05-08 11:08 · 稿源: 腾讯安全

很多网络安全事件均由安全漏洞引发。日前,腾讯安全威胁情报中心检测到H2Miner黑产团伙利用SaltStack远程命令执行漏洞入侵企业主机、控制服务器进行门罗币挖矿,已非法获利 370 万元,给企业正常业务造成重大影响。腾讯安全专家提醒企业及时升级修补漏洞,并使用专业安全产品予以防护,避免被黑产利用。

Saltstack是基于python开发的一套C/S架构自动化运维工具,通过Saltstack运维人员可以实现在众多服务器上批量执行命令,提高运维效率,因而受到一些云主机商、私有云公司的青睐。然而,近日SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。其中,通过认证绕过漏洞,攻击者可构造恶意请求,绕过Salt Master的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的;通过目录遍历漏洞,攻击者可读取服务器上任意文件,获取系统敏感信息信息。漏洞影响包括SaltStack < 2019.2.4、SaltStack < 3000. 2 在内的版本,影响广泛。

5 月 3 日,腾讯安全威胁情报中心检测到首起利用SaltStack漏洞发动攻击的安全事件,通过对该事件木马核心脚本、可执行文件对比分析,确定攻击行为来自挖矿木马家族H2Miner。攻击过程中,H2Miner木马会卸载服务器的安全软件,清除服务器内其它挖矿木马以独占服务器资源。据腾讯安全威胁情报中心大数据统计结果显示,自 5 月 3 日起,H2Miner利用SaltStack漏洞的攻击呈快速增长态势,目前已有多家企业中招,已有部分CDN平台因入侵出现服务故障,黑产团伙利用已控制的服务器组网进行门罗币挖矿,非法获利已超 370 万元。

据腾讯安全相关专家介绍,H2Miner是一个linux下的挖矿僵尸网络,可通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵,下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持C&C通信,一旦成功入侵将大量占用服务器资源,直接影响企业正常业务和访问。

H2Miner利用SaltStack漏洞攻击流程

为此,腾讯安全专家提醒企业加强防范,避免黑产团伙“趁虚而入”。企业安全运维人员应将SaltMaster默认监听端口设置为禁止对公网开放,或仅对可信对象开放;将SaltStack升级至安全版本以上,并设置为自动更新,及时获取相应补丁,防止病毒入侵;非必要情况下不要将Redis暴露在公网,并使用足够强的Redis口令。

与此同时,腾讯安全团队也已更新涵盖威胁发现、威胁分析、威胁处置在内的全栈解决方案,全面封堵SaltStack漏洞的相关黑产利用,企业可选择予以部署。在威胁情报上,T-Sec威胁情报云查服务、T-Sec高级威胁追溯系统已支持SaltStack漏洞相关黑产信息和情报的检索,帮助企业及时识别威胁、追溯网络入侵源头。在边界防护上,T-Sec高级威胁检测系统、云防火墙可基于网络流量进行威胁检测,主动拦截SaltStack远程命令执行漏洞相关访问流量。在终端保护方面,T-Sec主机安全、T-Sec终端安全管理系统可查杀利用SaltStack远程命令执行漏洞入侵的挖矿木马、后门程序。在网络资产风险检测方面,T-Sec网络资产风险检测系统已集成无损检测POC,企业可以对自身资产进行远程检测,及时了解受漏洞影响情况。对于云上企业,T-Sec安全运营中心已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为企业提供漏洞情报、威胁发现、事件处置、基线合规、泄露监测、风险可视等全方位安全能力,护航服务器安全。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 微软测试Update Stack Packages 进一步改善Windows 11升级体验

    微软宣布启用 Update Stack Packages 方式,进一步改善 Windows 设备的升级体验。服务栈负责安装操作系统更新的 Windows 部分,而微软会定期发布新的服务堆栈更新,从而改善 Windows Update 的升级。目前,这种新方法只适用于 Dev 渠道中少量用户。微软解释说:“目前,Update Stack Packages 仅限于一套非常小的、更新相关的系统文件,这些文件是独立于操作系统开发的。通过首先在 Windows Insiders 中测试这一过程,我们希望在未

  • HealthForce们会是企业员工健康管理的答案吗

    健康管理在当下无疑是一个热门的话题,非常具有想象力的增量市场,加上疫情的影响以及国家政策的导向,消费者、资本、企业都将目光聚焦到了这个行业。企业在员工健康管理方面,希望寻求更高效、更务实、更有效的模式,美年大健康、爱康等传统体检机构,也在寻求由检到管转型之路,近年来无数的平台型第三方健康管理平台如雨后春笋一般冒出,妙健康、善诊、乐荐、迷蝶健康……他们希望通过平台+健管服务的模式试图去破解这个综合性?

  • 以数据安护航数字政务,腾讯安全荣获数据安三项大奖

    9 月 23 日- 24 日,由中国信息协会主办的 2021 第三届中国电子政务安全大会在北京顺利召开,腾讯安全在本次大会推优评选中摘得“ 2021 中国数据安全领导力企业”、“ 2021 中国数据安全优秀解决方案”、“ 2021 中国数据安全优秀样板工程”三项大奖。“政府数字化转型离不开信息安全的保驾护航,随着网络化、数字化、智能化的日益深入,新的安全挑战将持续存在数字化转型全过程。”中国信息协会副会长吴钰在开幕式中提到,本次大?

  • iOS 15将为医生提供一个查看苹果Health应用数据的窗口

    据外媒The Verge报道,随着今天iOS 15的发布,一些iPhone用户将可以选择通过电子医疗记录跟他们的医生直接分享他们的健康应用中的数据。六家医疗记录公司参与了这一功能的首次推出,其中一些公司表示,他们系统上的医生和医疗机构都渴望开始使用这一功能。使用该选项的人可以使用Health应用上的新共享功能让他们的医生看到他们的心率和锻炼时间等数据,这些可以帮助医生更密切地关注可能跟患者健康相关的指标而无需患者采取额外的?

  • 共建“短信轰炸”黑产链条治理,腾讯安全验证码能力助力企业免遭黑产利用

    近日,广西壮族自治区来宾市公安局网安支队联合武宣警方,经过近两个月的奋战,成功破获广西首例短信轰炸案件。今年 6 月,来宾市公安局网安支队接到举报,有人在互联网上搭建网站开展短信轰炸、游戏外挂等黑产违法犯罪行为。针对相关线索,在腾讯守护者计划安全团队的协助下,来宾市公安局网安支队通过调查,最终锁定犯罪嫌疑人并实施抓捕行动。经审讯,犯罪嫌疑人卓某健交代其代理短信轰炸(又称“呼死你”)等非法服务,并以发?

  • 双“管”齐下 精准防骗——腾讯安全反欺诈方案亮相2021年国家网络安宣传周

    2021 年国家网络安全宣传周网络安全博览会于 10 月 8 日在西安国际会展中心正式启动。本届宣传周,以“网络安全为人民,网络安全靠人民”为主题,展示了网络安全领域的重大成就,以及网络安全前沿技术、新型产品等。腾讯安全作为主要参展单位,现场以安全“护航舰”的展台装置创意,为观众带来六大产品方案的沉浸式体验效果。其中,以呈现腾讯手机管家&电脑管家双管联动15. 0 版本的“管理站”,基于当下电信网络诈骗问题,首次打?

  • 即将发布的iOS 15.1 beta 2修复了iPhone 13上Apple Watch的解锁漏洞

    正如一些用户所报道的,新的iPhone13机型在iOS14.5中引入的Apple Watch解锁功能方面存在问题。苹果已经意识到了这个问题,iOS 15.1 beta 2已经包含了一个修复程序目前,苹果建议您在等待15.1版时禁用该功能并使用密码解锁。不幸的是,目前还不清楚它何时会从beta版毕业。特别是因为修复程序要求watchOS 8.1在您的手表上运行,而这目前是beta 1版iOS 15.1 beta 2修复了iPhone 13上Apple Watch的解锁漏洞iOS 15.1将启用共享,这在iOS

  • 腾讯安全发布《APP隐私合规白皮书》,助力企业移动应用隐私合规

    近年来,随着互联网技术在全球的飞速发展,人类社会已被裹挟进“大数据”时代,个人信息安全问题也成为全社会关注的议题。随着《个人信息保护法》(草案)、《数据安全法》等一系列法律法规对于个人信息保护的规范,用户隐私保护也正式提上企业发展议程。近日,腾讯安全正式发布《灵鲲APP隐私合规产品白皮书》(以下简称《白皮书》),报告就数字化浪潮下,企业面临的数据安全与用户隐私安全外部环境和现实困难展开了讨论,并介绍?

  • AirTag“丢失模式”存安全漏洞:能引导用户跳转到恶意/钓鱼网站

    根据 KrebsOnSecurity 分享的一份最新安全报告,苹果允许任何智能手机用户扫描丢失的 AirTag 以定位所有者的联系信息,该功能可能被滥用于网络钓鱼诈骗。当一个 AirTag 被设置为丢失模式时,它会生成一个 URL“https://found.apple.com”,它让 AirTag 所有者输入联系电话或电子邮件地址。任何扫描该 AirTag 的人都会被自动引导到有主人联系信息的 URL,查看所提供的联系信息不需要登录或个人信息。据 KrebsOnSecurity 称,丢失模?

  • 腾讯安全亮相2021年国家网络安宣传周 筑牢产业数字化升级安底座

    金秋长安,网安国安。 10 月 8 日,为期 7 天的 2021 年国家网络安全宣传周网络安全博览会(以下简称“博览会”)在西安国际会展中心正式拉开序幕。作为互联网安全领先品牌,以及本届宣传周的主要参展单位,腾讯安全将继续向社会各界展示其护航 18 大行业、助力上万家企业客户安全上云的实践成果。据了解,网络安全宣传周一直以来聚焦网络安全领域热点,通过网络安全实验、典型案例曝光等形式,宣传网络安全知识,提升社会网络安全

这篇文章对你有价值吗?

  • 热门标签