駭客以Shc撰寫Linux惡意程式繞過安全偵測，散布挖礦軟體、DDoS程式

韓國資安業者Ahnlab旗下ASEC安全緊急應變中心團隊近日發現一個以Shc撰寫的Linux惡意程式，會在用戶系統中安裝挖礦軟體及DDoS Bot程式。

Shc（Shell Script Compiler）的功用是將Bash shell script轉換成ELF（可執行及可連結的格式）。Bash是Linux中的基本shell，Bash shell支援的指令可被組譯成script格式而被用戶執行。Bash shell有點類似Windows的指令提示元，而Bash shell script檔則類似Windows batch scripts。Linux環境下以Shc將Bash shell轉成ELF檔格式，有如Windows環境下，以bat2exe公用程式將batch script轉成EXE檔案。

研究人員表示，在Windows環境下，攻擊者會利用bat2exe把惡意batch scripts轉成執行檔再散布，以便繞過防毒軟體產品的偵測。可能基於類似原因，駭客也會將惡意bash shell scripts先轉成ELF檔，藉此迴避檔案偵測。

安全廠商ASEC的客戶近日即遭到Shc惡意程式的攻擊。他們判斷，攻擊者先以字典攻擊成功驗證，並存取防護不足的Linux SSH伺服器，之後在目標系統上安裝多個惡意程式，其中包括Shc下載器，由其下載安裝XMRig 挖礦程式CoinMiner，此外，還下載了一個由Perl撰寫成的DDoS IRC Bot程式。

這個DDoS IRC Bot程式顧名思義，是以IRC協定和C&C伺服器通訊。這個Bot程式不只支援TCP Flood、UDP Flood和HTTP Flood等DDoS攻擊，還包含指令執行、逆向shell連線（reverse shell）、傳輸埠掃瞄及log偵測等功能。

基於這波攻擊成功原因在於駭客以暴力破解及字典式攻擊，成功存取了目標Linux SSH伺服器，研究人員呼籲管理員應避免使用太簡單的密碼並定期更換，此外也保持在最新的作業系統更新。也應在連外伺服器前，加裝防火牆防範惡意存取。