IT技术互动交流平台

Rocke Group新研究利用Web服务中的漏洞卸载云安全产品

作者:wy  来源:网络整理  发布日期:2019-02-09 08:45:00
  对于电脑不同系统的安全问题对于我们来说都是重要的,对于Rocke Group最新的研究发布的相关信息来说,现在的恶意的软件在操作中是可以实现直接卸载云安全级别的软件,这就是利用一些系统的漏洞出错可以实现的,对于Rocke Group软件样本的采集对于安全的影响,对于产应的安全有很大的影响。
Rocke Group新研究利用Web服务中的漏洞卸载云安全产品

  Rocke Group的运作方式是利用Web服务中的漏洞,包括Apache Struts 2,Oracle WebLogic和Adobe ColdFusion,为攻击者获取shell访问提供后门,通过该后门,Monero加密货币挖掘软件安装在目标系统上。源自该组的恶意软件样本历史上包括停止和移除其他加密货币挖掘软件的命令。

  新发现的样本包括阻止阿里云和腾讯云平台上使用的流行安全产品的附加说明,包括阿里巴巴威胁检测服务,阿里巴巴CloudMonitor,阿里云助手,腾讯主机安全和腾讯云监控。从根本上说,这些是基于代理的安全产品,需要在云托管的实例上进行安装,并将其置于此恶意软件的触及范围之内。

  由于假设Rocke Group位于中国,这种行为只能用于中国云服务的安全产品。研究人员表示担心恶意软件作者将广泛采用卸载云安全解决方案以逃避检测的行为。这些担忧在一定程度上是有必要的,因为恶意软件卸载桌面安全解决方案时这种行为早已存在。考虑到这种攻击策略,确实存在一些维护安全完整性的考虑因素。

  在某一特定情况下,预计会存在自发缺席的计划应被视为一种迹象,表明某些事情已经非常错误。企业安全产品通常仅在检测到异常时作出反应,尽管使用某种定期信标来指示定义更新等,至少会主动向IT利益相关者提供安全软件正常运行的保证。这不一定是安全代理软件的一个特征 - 可以使用cron来检查是否存在进程。

  能够获得root访问权限的恶意软件很容易伪造这样的信标,如卸载安全软件,限制了这种想法的功效。在全球范围内,安全供应商和可用产品的数量使得恶意软件有效负载完全卸载和克隆信标对于每种可能的配置都是不切实际的。中国云市场的属性可能使得本地攻击比在选择更多样化的市场更容易。

  最终,依靠云实例自我报告健康状况可能是不完美的,因为任何能够获得root访问权限的恶意软件理论上都能够卸载安全产品或伪造安全信标,如上所述。就保护环节而言,从Ring -1监控云实例活动可以抵御此类攻击。在此级别,破坏安全监控将需要使用指数级更具挑战性的虚拟机逃逸漏洞。

  想要保护电脑或者是手机系统的安全root访问权限的保护自然是不容多说的,对于 Rocke Group的运作就是可以使用漏洞来恢复产品的健康,处理恶意软件伪造的信息保护我们的系统的安全。

延伸阅读:

  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规