华为云发现到“Covid19_新木马，企业主机安全服务能提供追踪

近日,华为云安全团队检测到一例全新的标签为“Covid19”的Redis木马病毒程序。该木马会御载许多云平台的主机安全监控和防护软件,最终达到再控制云主机,并参与纵向渗透,一段时间控制许多主机,严重危害用户的主机安全。目前,华为云不受该木马影响,而且旗下的企业主机安全服务能提供了可以检测和拦截该木马的功能。一、发现过程华为云安全团队实际全网联动的态势感知平台,于近日自动检测到了该木马活动的痕迹,云平台而后手动启动时了防御机制,并捕获了该木马的样本。安全团队对木马进行了分析,并把威胁情报共享给了企业主机安全服务,令服务具备了木马的检测和拦截能力,供用户破坏自己的云主机。二、木马分析1、传播路径该木马比较多是从用redis不主动安全配置,在目标主机内中写入木马可执行文件通过传播,其过程为实际3个用户名一段时间与Redis建立起连接到;再连接完成后即利用Redis漏洞写crontab文件;直接下载执行TeamTNT4.sh文件;TeamTNT4.sh文件会下载挖矿程序并进行先执行;扫描后6379端口接受传播;扫描本地也连接过的ip以及key,一段时间通过ssh感染周边的机器。2、木马功能是从捕抓的木马样本,经修改密保,该木马通常中有自动出现想执行门罗币挖矿和反病毒功能。其中,反病毒功能能愿意检测、自动关闭和御载云主机安全监控和防护软件,让用户的主机没了安全保护。平均文件功能3、影响范围所有暴露在公网的、修真者的存在不周全配置Redis的服务的主机。三、云上可以检测和防护方案对云上用户,企业主机安全服务可以提供了对该木马的防护,步骤如下:1、在不需要防护的云主机上,安装企业主机安全服务客户端(agent);2、自动打开防护后,用户可收到消息威胁告警;3、收到消息告警后,用户可在用隔离查杀功能,:截图呀,即可对该木马参与突袭。四、选择华为云,就你选了安全可靠每次来极为严重安全风险狂暴,华为云都会立马对漏洞、木马等参与跟踪、分析和验证,为您需要提供比较合适的防护手段。