全能型惡意程式Sysrv可感染可挖礦 強力攻擊Windows、Linux系統中

研究人員發現一隻具有開採多項漏洞,還會挖礦的蠕蟲,近日開始針對Windows及Linux裝置發動攻擊。

研究人員發現一隻具有開採多項漏洞,還會挖礦的蠕蟲,近日開始針對Windows及Linux裝置發動攻擊。

Juniper研究人員去年12月開始監控一隻稱為Sysrv的殭屍網路病毒。這隻惡意軟體元件之一是蠕蟲程式,可從一台有漏洞的裝置散佈到另一台裝置,完全不用任何使用者動作。它會先掃瞄網路上的漏洞裝置,找到時即會用它長期累積的一系列攻擊程式來感染裝置。

這隻軟體也具有挖礦能力,可利用感染裝置來挖Monero幣。每個元件都有一個個別的二進位檔案。

Sysrv還會改版?

到了今年三月,Sysrv的作者將之重新設計,把蠕蟲和挖礦整合為單一二進位檔,還加入可植入SSH金鑰的描述語言,這主要是使其能不受重開機影響,並且提升它的能力。這隻蠕蟲開採企業常用的軟體及框架,包括Mongo Express、 XXL-Job、XML-RPC、Saltstack、ThinkPHP和Drupal Ajax的6個漏洞。

Juniper研究人員Paul Kimayong指出,根據其經驗,以及觀察到的Sysrv二進位檔,他們相信攻擊者不斷在更新攻擊武器。

研究人員發現這隻惡意軟體開採的漏洞已經多達十多項,包括

CVE-2021-3129(Laravel)、CVE-2020-14882 (Oracle Weblogic)、CVE-2019-3396 (Widget Connector macro in Atlassian Confluence Server)、CVE-2019-10758 (Mongo Express)、CVE-2019-0193 (Apache Solr)、CVE-2017-9841 (PHPUnit)、CVE-2017-12149 (Jboss Application Server)、CVE-2017-11610 Supervisor (XML-RPC)、CVE-2019-7238 (Sonatype Nexus Repository Manager),以及Apache Hadoop 的未驗證指令執行漏洞、Jenkins的暴力破解、Jupyter NotebookServe的指令執行漏洞 、Tomcat Manager未驗證上傳指令執行、以及WordPress的暴力破解漏洞。

Sysrv使用多種礦池進行獲利

此外,受感染裝置加入的礦池也變了。Sysrv的挖礦軟體是XMRig的開原碼版本,目前使用的礦池包括:Xmr-eu1.nanopool.org、f2pool.com、minexmr.com。

礦池是指一組礦工,他們集結運算資源以減少收益的不確定性,並增加找到交易區塊的機會。根據挖礦收益比較網站PoolWatch.io指出,Sysrv使用的礦池是四大Monero挖池中的三個。

三者整合起來,幾乎佔了網路算力的50%,攻擊者看中的似乎是具有高收益率的頂級礦池。而計算Sysrv的電子錢包位址,估計從3/1到3/28日已挖到1,700美元的Monero幣。

Sysrv的二進位檔是一個64-bit Go程式,內有開原碼UPX可執行檔加殼器(packer),有Windows和Linux版本。二個Windows版二進位檔分別在VirusTotal上的70個掃毒引擎中的33個和48個偵測到,Linux二進位檔則分別有6個和9個掃瞄引擎偵測到。

這隻殭屍網路程式的威脅不只是竊用裝置的運算資源和電力而已,它能挖礦表示也能植入勒索軟體以及其他惡意程式。Juniper也公佈了10多項入侵指標給管理員檢查參考。

來源:Ars Technica

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416