发现智能加密货币挖矿Linux恶意软件可能会降低CPU使用率

打电话给加密货币社区城镇中存在一种新的威胁，使加密货币资产处于危险之中。两位威胁分析师最近遇到了一种新形式的Linux恶意软件，它一直在挖矿加密货币，同时保持隐藏状态。

威胁分析师Augusto Remillano II和Jakub Urbanec在趋势科技的一篇文章中向公众展示了他们的发现，趋势科技是一个著名的安全情报博客。他们接着解释说，加密货币挖矿恶意软件仍然是加密货币领域的一个普遍问题，随着时间的推移，恶意软件正在不断发展，这与网络安全犯罪分子的努力有关。

他们最近发现的被称为“Skidmap”的恶意软件的有趣之处在于它加载恶意内核模块以使其加密货币挖矿操作保持在雷达之下。在进一步解释恶意软件如何保持隐藏的同时，分析师表示Skidmap通过利用rootkit来实现这一目标，rootkit是一个负责在未经最终用户同意或知情的情况下在系统上安装和执行代码的程序。因此，受感染系统的监控工具无法检测到。

这不是恶意活动结束的地方;攻击者可以进一步利用上述内核模式rootkit获取对受感染系统的无限制访问。恶意的Skidmap是危险的高级，因为它还能够设置一个秘密主密码，使其能够访问受感染系统中存在的任何用户帐户。

此外，分析人员补充说，除了设置获取后门访问目标机器的方法之外，Skidmap还为其操作员创建了另一个访问点以获得对机器的访问权限。该报告进一步如下：

恶意软件用自己的恶意版本替换系统的pam_unix.so文件。此恶意文件接受任何用户的特定密码，从而允许攻击者以机器中的任何用户身份登录。

它是如何运作的？

根据该报告，初始感染始于Linux进程'crontab'，这是一个标准进程，负责定期在类Unix系统中调度定时作业。

然后进入Skidmap安装大量恶意二进制文件的第二阶段，第一阶段最小化并削弱受感染机器的安全设置，以便明确开始挖矿加密货币未经检查。

如前所述，此过程中还涉及其他二进制文件，其中一个负责在计算机上删除和安装多个可加载的内核模块。恶意软件相当先进，以复杂的方式运行以确保它成功，例如为了确保受感染的机器不会因内核模式rootkit而崩盘，它为特定的内核版本使用不同的模块。甚至还有一个隐藏特定文件的模块以避免检测。

另请阅读：加密货币交易所攻击Fiasco：Binance只有它的首席执行官才能承担责任

Skidmap还伪造网络流量和CPU相关的统计数据，试图掩盖其加密货币挖矿操作。根据该报告，高CPU使用率被认为是非法加密货币开采的主要危险信号;因此，一个名为netlink的rootkit伪造整个事情，使得受感染机器的CPU负载总是很低。这表明系统显然没有任何问题。

Skidmap使用的复杂性和复杂性使其非常危险。根据报告：

它使用LKM rootkit – 考虑到它们覆盖或修改内核部分的能力 – 使其比其他恶意软件更难清理。

如果这还不够惊人，报告还补充说恶意Skidmap有多种方式来访问受影响的计算机，这使得它可以重新感染已经恢复或清理的系统。

虽然该报告一般强调新Linux恶意软件和加密货币挖矿威胁的危险性，但它并未指出哪些加密货币Skidmap非法挖矿。

2019年和加密货币劫持事件

Linux恶意软件可能是新的，从它的外观来看，超级先进，但加密货币劫持的威胁，一般来说并不新鲜。实际上不幸的是，它仍然是困扰加密货币生态系统的最普遍的问题之一。

正如区块链技术在8月早些时候报道的那样，网络安全公司McAfee Labs发布了一份威胁报告，其中指出2019年第一季度的加密货币劫持活动和勒索软件攻击有所增加。该报告声称，2019年第一季度加密货币劫持活动增加了29％ 。

另请阅读：Gartner：缺乏数字基础设施限制了区块链的进展