DDG殭屍網路“變種”來襲，騰訊安全提醒企業警惕伺服器安全

曾經以暴破入侵LINUX系統挖礦而廣為人知的DDG殭屍網路近期再次活躍。近日，騰訊安全檢測發現DDG殭屍網路在近一個月內更新了9個版本，並透過攻擊Linux系統進行挖礦，對伺服器效能造成極大影響。騰訊安全專家提醒企業進一步加強對伺服器的安全管理，同時建議部署騰訊T-Sec高階威脅檢測系統等專業安全產品進行防禦，防患未然。

DDG殭屍網路最早出現於2017年， 主要是透過對SSH服務和Redis伺服器進行掃描暴破入侵LINUX系統，植入挖礦木馬挖門羅幣獲利，騰訊安全威脅情報中心此前已多次披露該團伙的挖礦活動。最近一個月內，DDG殭屍網路更新頻繁，平均每週更新兩個版本，最新監測到的DDG挖礦木馬於3月31日更新，目前已更新到DDG/5023版本。

與以往版本不同的是，最新版的DDG挖礦木馬具有更高的對抗性。新版木馬執行後會請求下發配置檔案，根據配置檔案下載挖礦木馬wordpress及病毒指令碼i.sh執行，平均每15分鐘執行一次；為了延長挖礦木馬在伺服器的存活時間，最新版的DDG木馬會透過下載uninstall.sh，quartz_uninstall.sh等指令碼以解除安裝騰訊云云鏡、阿里雲安騎士等安全防護產品，逃避攔截和查殺；此外，還會透過修改hosts檔案以遮蔽競爭木馬的網址，達到獨佔系統資源的目的。

圖：DDG挖礦木馬解除安裝雲伺服器安防產品

鑑於病毒的挖礦行為對伺服器效能產生的巨大影響，騰訊安全專家提醒企業管理員加強對Linux伺服器的安全管理：管理員應避免使用弱口令，為Redis新增強密碼驗證；定期對伺服器進行加固，儘早修復企業伺服器相關元件的安全漏洞。

與此同時，基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料研發出的獨特威脅情報和惡意檢測模型系統——騰訊T-Sec高階威脅檢測系統，能有效檢測駭客攻擊和挖礦行為，專家建議企業予以部署，及時發現企業面臨的潛在威脅。此外，企業也可在終端或伺服器上部署騰訊T-Sec終端安全管理系統（御點），及時攔截惡意軟體等安全風險，或將Web伺服器部署在騰訊雲等具備專業安全防護能力的雲服務上，獲取專業安全廠商提供的防護。

圖：騰訊T-Sec高階威脅檢測系統（御界）檢測駭客攻擊