云服务器上的安全技术应该有助于阻止和阻止恶意软件的安装，但是当攻击者弄清楚如何将安全技术作为黑客攻击活动的一部分进行卸载时会发生什么?

根据Palo Alto Networks的42号安全研究部门1月17日发布的一份报告，这正是Rocke黑客组织在中国所做的事情。Palo Alto报告说，Rocke正在积极利用服务器并获得管理访问权限。通过完全管理员访问，黑客随后卸载安全软件，并代替安装未经授权的加密货币挖掘软件。

Palo Alto报告说，Rocke能够从运行Linux的云服务器上卸载五种不同的云安全保护和监控产品。受影响的云安全产品包括腾讯云和阿里云的云工作负载保护平台(CWPP)产品。

Rocke小组正在利用多个应用程序中现有的已知漏洞来访问服务器。Rocke攻击的应用程序漏洞包括Apache Struts 2，Oracle WebLogic和Adobe ColdFusion，所有这些漏洞都存在已知漏洞。Struts特别是一个积极的目标应用程序，未修补的Struts服务器是 2017年报告的大规模Equifax数据泄露的核心 。

“在这些攻击中，攻击者能够获得对系统的根级控制，因此不需要操作系统/内核漏洞来解决这些攻击，”Palo Alto Networks第42单元威胁情报副总裁Ryan Olson说道。 ，告诉 eWEEK。

Cryptojacking

Rocke攻击者决定在他们接管的服务器上安装加密货币挖掘软件的事实是相对随意的。Olson指出，通过管理访问，攻击者可以通过滥用该权限来采取其他行动。

加密货币挖掘利用服务器资源来生成或“挖掘”货币，然后攻击者可以将其用于他们选择的任何目的。未经授权的加密货币挖掘的挑战有时被称为“加密劫持”，并且是 2017年和2018年攻击者的一个主要趋势 .Palo Alto的42号机组过去发现了其他加密劫持活动，包括2018年10月使用 Flash更新程序的活动 作为部署恶意软件的机制。

根本原因

Olson认为卸载阿里巴巴和腾讯云CWPP软件不是供应商平台中的漏洞或漏洞。

“恶意软件滥用了合法的管理员权限来卸载应用程序，”奥尔森说。“从应用程序的角度来看，没有发生任何不好的事情 - 关键是管理员权限被滥用。”

目前还不完全清楚Rocke集团能够通过其卸载活动攻击多少服务器，因为Olson表示Palo Alto目前没有这些数据。Palo Alto已将此问题报告给腾讯云和阿里云，因此他们可以采取措施阻止发起攻击的域名。

防守洛克

Olson提供了一些简单的建议来帮助那些担心Rocke及其卸载程序活动风险的组织。

他说组织可以做的两件事是：

确保完全修补操作系统和应用程序

确保应用程序尽可能按照最小权限原则运行。