Linux恶意软件掩盖了虚假网络流量的非法加密货币挖矿

针对Linux系统的新加密货币挖矿恶意软件已经证明了这种类型的恶意软件已经变得多么复杂。这种恶意软件称为Skidmap，不仅难以检测，而且还使攻击者可以不受过滤地访问受影响的系统。

恶意软件是由TrendMicro的安全研究人员发现的。在博客文章中，研究人员透露，恶意软件可以设置一个秘密主密码，使攻击者可以访问系统上的任何用户帐户。

研究人员解释说，恶意软件通过crontab自行安装，crontab是一个定期运行的任务列表。执行时，恶意软件会降低受影响计算机的安全设置。它通过禁用安全增强型Linux（SELinux）模块来实现这一点，该模块是一个安全模块，可在系统的访问控制策略中提供支持。

通过将攻击者的公钥添加到身份验证所需的密钥列表中，Skidmap还可以让攻击者通过后门访问受影响的计算机。

此外，它还将系统的身份验证模块pam_unix替换为自己的恶意版本。此版本接受攻击者为系统上的任何用户设置的特定密码，允许他们随意登录任何用户帐户。

为避免检测，Skidmap会将其他几个恶意组件加载到受影响的计算机上。其中一个是netlink rootkit，它伪造网络统计信息，特别是涉及某些端口和IP地址的流量。它还会伪造与CPU相关的统计信息，使受影响的计算机看起来正常运行。由于高CPU占用率是加密货币劫持恶意软件中最著名的危险信号之一，因此这是攻击者的关键策略。

研究人员向The Next Web透露，Skidmap开采了Monero，这是领先的黑暗硬币之一。 “与本文有关的加密货币挖矿者是采用Monero加密的XMRig的变种，”他们表示。

研究人员建议，“鉴于Linux在许多企业环境中的使用，其用户，尤其是管理员，应始终采用最佳实践：保持系统和服务器的更新和修补（或使用虚拟补丁进行遗留系统）;谨防未经证实的第三方存储库;并强制执行最小特权原则，以防止可疑和恶意的可执行文件或进程运行。“

McAfee Labs上个月发布的一份报告显示，今年第一季度的加密货币劫持攻击事件飙升了29％。攻击者继续寻找新的方法来保持领先，最近的一份报告显示Glupteba恶意软件正在使用Core Coin（BTC）区块链来增强其弹性。

要收到最新的CoinGeek.com新闻，CoinGeek会议的特别折扣和其他内部信息直接到您的收件箱，请注册我们的邮件列表。

分享