确定了针对Linux的新加密货币挖矿恶意软件
主要事实:
- Skidmap恶意软件会伪造网络流量和CPU相关的统计信息。
- 与其他二元祸害相比,恶意软件更难以根除。
针对Linux操作系统的各种加密货币挖矿恶意软件已被一组网络安全研究人员识别出来。提到的恶意软件不仅非法提取加密货币,还通过“秘密主密码”为攻击者提供对受感染系统的通用访问。
TrendMicro的最新博客还揭示,随着恶意软件被识别,Skidmap试图通过伪造网络流量和CPU相关统计数据来掩盖加密货币挖矿活动。高CPU使用率被视为非法加密货币挖矿的主要警告信号,这使得此功能特别危险。
根据TrendMicro研究人员的说法,Skidmap展示了最近加密货币挖矿威胁的“日益复杂”。
一个非常真实的威胁
最初的感染发生在名为crontab的Linux进程中,crontab是一个标准进程,可定期在类Unix系统上调度定时作业。
然后,Skidmap会安装多个恶意二进制文件:首先,它最大限度地减少受感染计算机的安全设置,以便它可以开始无障碍地提取加密货币。
TrendMicro写道:“除了后门访问,Skidmap还为其操作员创建了另一种访问机器的方式,”随后:“恶意软件取代了系统pam_unix.so文件(负责标准认证的模块) Unix)有自己的恶意版本(…)»。该公司还表示:“pam_unix.so恶意文件接受任何用户的特定密码,允许攻击者以机器上的任何用户身份登录。”
在安装加密货币挖矿器之前,Skidmap会检查正在运行的Linux OS操作系统的类型。图片:TrendMicro的博客。
不幸的是,该公司没有说明Skidmap非法提取哪种加密货币,但硬分叉已联系研究人员获取更多数据,如果得到回复,将更新此信息。
同样,TrendMicro警告说,与其他恶意程序相比,Skidmap更难以根除,特别是因为它使用Linux内核模块(LKM)rootkit,它会覆盖或修改操作系统内核的某些部分。报告还表明,恶意软件也被编程为重新感染感染后已清理或恢复的系统。
加密货币挖矿的威胁不仅会影响服务器或工作站的性能,还会导致更高的费用甚至影响公司,特别是如果它们用于执行关键任务操作。
趋势科技。
为防止Skidmap,TrendMicro敦促管理员保持其系统和服务器的修补和最新状态,并提防未经验证的第三方存储库。同样,他们呼吁“最小特权原则”来防止恶意二进制文件访问关键系统进程。
David Canellis在The Next Web上发表的文章的翻译版本。