Skidmap恶意软件使用Rootkit隐藏加密货币挖矿

随着每一种新技术的出现，它都会受到恶意攻击者的威胁。加密货币领域即将出现的最新技术威胁是加密货币漏洞攻击恶意软件。最近，趋势科技的威胁分析师Augusto Remillano和Jakub Urbanec发现了一种独特的Linux恶意软件Skidmap。它是独特的，因为它躲避系统监视;恶意软件带有内核模式rootkit，这意味着它会加载恶意内核模块，从而使安全系统几乎不可能检测到它。因此，很难检测到此恶意软件承担的任何加密货币挖矿操作。

当检测到易受攻击的Linux系统时，将通过基于时间的作业调度程序Crontab安装Skidmap。在此之后，Skidmap中的安装脚本将下载特洛伊木马有效负载。此特洛伊木马会将安全增强型Linux（SELinux）模块转换为“允许状态”，从而破坏了计算机的安全性。通过将操作员密钥插入Linux系统中的authorized_keys文件来创建后门。

除了这个后门之外，Skidmap还为操作员创建了另一条路径，通过用自己的恶意文件（标识为Backdoor.Linux.PAMDOR.A）替换系统的pam_unix.so文件（标准Unix身份验证的组件）来获取访问权限。此文件为所有用户接受单个唯一密码。因此，操作员可以像使用它的任何用户一样访问机器。

Skidmap的加密货币挖矿组件作为单独的实体而下跌。该实体由加密货币挖矿器和其他组件组成。恶意软件首先检查机器使用的操作系统，然后根据该安装程序安装与该操作系统兼容的组件。

加密货币挖矿是通过解密哈希值向区块链添加新交易或释放新货币的过程。