Palo Alto Networks的Unit42周四宣布，他们发现了一个恶意软件家族，其独特之处在于——可通过卸载云安全产品，获得目标系统的管理员权限。恶意活动与针对Linux服务器的加密币挖掘恶意软件相关联。

　　研究人员发现的恶意软件样本不会危及、终止或攻击相关的安全和监控产品，它们只是简单地从受损的Linux服务器上卸载它们。

　　“我们经过分析发现，这些恶意软件不妥协这些安全产品：相反，恶意软件首先获得对主机的完全管理控制，然后滥用权限卸载这些产品。

　　研究人员表示，具体来说，这些恶意软件样本是为了卸载腾讯云和阿里巴巴云开发的产品。卸载产品的重要安全功能有：基于机器学习的木马检测和删除、日志活动审计和漏洞管理等。

　　Unit 42主要负责人告诉媒体：”Palo Alto Networks Unit 42已与腾讯云和阿里巴巴云合作，以解决恶意软件逃逸问题及其C2基础设施问题，“

　　攻击过程

　　Rocke威胁集团正在积极使用新的恶意软件。Rocke是一个”日渐强大“的中国威胁性黑客组织，于2018年7月首次由思科Talos公开指出，利用各种Git存储库和挖掘门罗币的恶意软件感染易受攻击的系统。

　　为了将恶意软件传播给受害者设备，Rocke小组利用Apache Struts 2，Oracle WebLogic和Adobe ColdFusion中的漏洞。一旦恶意软件被下载，它就会建立一个命令和控制服务器连接，并在系统上下载一个名为”a7“的shell脚本。

　　随后该shell脚本开始执行一系列恶意活动，如杀死系统上的其他加密进程，下载和运行加密币挖掘器，以及通过使用开源工具”libprocesshider“在Linux隐藏其恶意操作。

　　在这个阶段，最新的恶意软件样本展示了一项功能，该功能部署了一种前所未见的技巧：它们可以卸载云工作负载保护平台，这是一种针对公共云基础设施的基于代理的安全保护解决方案。其中包括阿里巴巴威胁检测服务代理、阿里巴巴云监测代理、阿里巴巴云助手代理；以及腾讯主机安全代理和腾讯云监控代理。腾讯云和阿里巴巴云官方网站提供文档，指导用户卸载云安全产品。研究人员表示，Rocke group使用的新恶意软件样本似乎遵循了这些官方卸载程序。

　　恶意软件起源

　　至于恶意软件本身，Unit42的研究人员也怀疑这个家族似乎是由Iron网络犯罪集团开发的（因为Iron和Rocke的恶意软件的有效载荷相似，该恶意软件的攻击对象也是类似的基础设施）。

　　该恶意软件还与Xbash恶意软件有关，这是研究人员去年9月披露的一个复杂的软件家族。Xbash结合数据破坏性勒索软件和恶意加密技术，对Windows和Linux系统造成了严重破坏。然而，在卸载云安全产品方面其威力再上一层楼、

　　最后，研究人员在报告中表示：”Rocke 集团使用的恶意软件变种表明，基于代理的云安全解决方案可能不足以阻止针对公共云基础设施的恶意软件攻击。我们相信这种独特的逃避行为将成为针对公共云基础设施的恶意软件的新趋势。“