加密貨幣示意圖,CC 2.0 by Steve Garfield

過去挖礦軟體XMRig主要以ARM-based伺服器為目標,但安全研究人員發現,它現在也開始感染Intel x86架構的系統,顯示企業也成為挖礦軟體的新目標。

Akamai安全研究人員Larry Cashdollar在7月蒐集到的650隻IoT惡意程式樣本中,其中一個看似.gzip壓縮檔,等待不知情的用戶開啟後感染系統。這個檔案包含二進位檔、腳本程式和函式庫,其中一個腳本程式可檢查受害系統是否之前有感染過XMrig,另一個腳本程式可將舊版軟體砍掉再安裝最新版的XMrig v2.14.1,並在crontab檔案中加入自己,以便未來受害者重開機後仍然能執行。

值得注意的是,第一個腳本程式執行時也建立三個不同目錄,分別包括x86 32位元或64位元格式的XMrig v2.14.1版本,有些二進位檔也會以普通的Unix公用程式命名如ps偽裝,以便混入正常的處理程序清單(process list)中。等最新版XMrig安裝於英特爾系統後,便與其他挖礦程式一樣,和外部C&C伺服器透過22埠建立SSH連線以獲取指令。

研究人員警告,網路歹徒仍會持續設法從未設防的系統上挖礦斂財,因此他提醒系統管理員儘早修補漏洞、關閉不安全的服務,並採用強密碼、雙因素驗證及適當的弱點補救方案,以減少淪為挖礦區的機會。


Advertisement

更多 iThome相關內容