騰訊安全：Agwl病毒團伙盯上Linux系統，挖礦、DDoS、刪庫勒索無惡不作

2018年7月，騰訊安全御見威脅情報中心首次監測到Agwl網路犯罪團伙入侵某互娛公司手遊官網伺服器；2019年1月以來，Agwl團伙日漸活躍，呈小幅度爆發趨勢，針對phpStudy網站伺服器批量植入大量挖礦木馬，並通過對其網站使用的預設MySQL弱口令進行爆破攻擊，得手後植入挖礦以及遠控木馬。

近期，騰訊安全御見威脅情報中心再次監測捕捉到Agwl團伙的蹤跡，此次入侵行動中首次將Linux系統納入攻擊範圍，入侵後會下載執行挖礦指令碼、DDoS病毒及勒索病毒。目前，騰訊御點終端安全管理系統已對該惡意行為進行全面攔截並查殺。

與其他勒索病毒不同的是，Agwl團伙爆破登入成功後並不會先加密資料再勒索酬金，而是在攻擊成功後直接“撕票”刪庫，再向受害企業使用者傳送勒索訊息騙取贖金。企業一旦中招，不僅資料拿不回來，還可能被騙取贖金，“數”財兩空。同時，勒索病毒還會發動挖礦攻擊，通過C2獲取攻擊目標IP段，掃描VNC、Rsync、MySQL等伺服器進行爆破攻擊，最終通過shell下載挖礦木馬挖取門羅幣。

　(圖: Agwl團伙門羅幣錢包收益量)

通過與之前的攻擊活動進行對比分析，騰訊安全技術專家指出，在此次惡意攻擊事件中，不法黑客使用的爆破工具加密方式與1月份發現的挖礦木馬樣本保持一致。攻擊者入侵成功後加入基於Linux系統執行的bash指令碼程式碼s667，並進一步下載挖礦木馬，隨後繼續植入DDoS病毒以及勒索蠕蟲病毒，對伺服器進行爆破。

（圖：Agwl團伙攻擊流程）

對於這種針對phpStudy網站伺服器的批量入侵行為，騰訊安全專家馬勁鬆提醒廣大企業網路管理員，應及時加固伺服器，修補伺服器安全漏洞，對於phpStudy一類的整合環境，在安裝結束後應及時修改MySQL密碼為強密碼，避免被黑客探測入侵；推薦使用御知網路空間風險雷達和騰訊雲網站管家智慧防護平臺產品，可直接對企業進行風險掃描和站點監測。目前，騰訊雲網站管家智慧防護平臺已具備Web入侵防護、0Day漏洞補丁修復等多緯度防禦策略，可全面保護網站系統安全。此外，推薦全網部署騰訊御界高階威脅檢測系統，提前感知和有效抵禦漏洞攻擊，保護企業免受資料和財產損失。

報告全文詳見：https://bbs.pediy.com/thread-253657.htm