最近,出现了一种名为 PyLoose 的新型无文件恶意软件,其目标是进行未经授权的门罗币加密货币挖矿的云交易量。
事实证明,PyLoose 是一个相对简单的 Python 脚本,带有预编译的 base64 编码的 XMRig挖矿,这是一个被滥用的开源引擎,使用 CPU 能力来解决加密货币挖矿所需的复杂算法。
云安全初创公司 Wiz 的研究人员表示,PyLoose 直接从内存执行,使得该软件“隐形”,难以被安全工具检测到。特别是,PyLoose经常使用合法的系统工具将恶意代码注入交易流程。
据报道,PyLoose 攻击于 2023 年 6 月 22 日首次被发现,此后已经发生至少 200 起软件入侵案例。
“据我们所知,这是第一次公开记录的针对云工作负载的基于 Python 的无文件攻击,我们的证据显示有近 200 个攻击实例。这用于加密货币挖矿。”
正如 Wiz 分享的报告所述,攻击大多是从通过可公开访问的笔记本电脑服务获取设备访问权限开始的,而不是通过限制系统命令开始的。
然后,攻击者使用 HTTPS GET 请求从类似 Pastebin 的网站“paste.c-net.org”获取无文件有效负载 (PyLoose),并将其直接加载到运行时的存储中。Python。
然后,PyLoose 脚本被解密和解压缩,使用 Linux 实用程序“memfd”(Linux 中的一种非主要恶意软件技术)将挖矿的XMRig 挖矿程序直接加载到实例的内存中。
“内存文件描述符 memfd 是 Linux 的一项功能,它允许创建匿名内存支持的文件对象,这些对象可用于各种目的,例如进程或临时存储之间的通信”。
“一旦有效负载被放置在通过 memfd 创建的一块内存中,攻击者就可以对该内存内容调用其中一个 exec 构建调用,将其视为磁盘上的常规文件,从而启动一个新进程。”
皮卢斯脚本
这允许攻击者直接从内存执行有效负载,绕过大多数传统的安全解决方案。受感染云实例的内存加载 XMRig挖矿是一个相当新的版本 (v6.19.3),它使用“MoneroOcean”挖矿池来挖矿门罗币。
Wiz 目前不会将 PyLoose 攻击归因于任何特定威胁代理,因为攻击者没有留下任何有用的证据。但研究人员表示,PyLoose 背后的人似乎非常老练,在参与云工作负载攻击的典型威胁参与者中脱颖而出。
为了避免受到 PyLoose 的攻击,云实例管理员应避免将易受攻击的服务暴露给公共代码执行,使用强密码和多因素身份验证来保护对服务的访问并设置系统命令执行限制。
VIC加密合成
相关文章:
DeFi 协议 Arcadia Finance 被黑 455,000 美元