全能型惡意程式 Sysrv 可感染可挖礦 強力攻擊 Windows、Linux 系統中

研究人員發現一隻具有開採多項漏洞，還會挖礦的蠕蟲，近日開始針對 Windows 及 Linux 裝置發動攻擊。

Juniper 研究人員去年 12 月開始監控一隻稱為 Sysrv 的殭屍網路病毒。這隻惡意軟體元件之一是蠕蟲程式，可從一台有漏洞的裝置散佈到另一台裝置，完全不用任何使用者動作。它會先掃瞄網路上的漏洞裝置，找到時即會用它長期累積的一系列攻擊程式來感染裝置。

這隻軟體也具有挖礦能力，可利用感染裝置來挖 Monero 幣。每個元件都有一個個別的二進位檔案。

Sysrv 還會改版？

到了今年三月，Sysrv 的作者將之重新設計，把蠕蟲和挖礦整合為單一二進位檔，還加入可植入 SSH 金鑰的描述語言，這主要是使其能不受重開機影響，並且提升它的能力。這隻蠕蟲開採企業常用的軟體及框架，包括 Mongo Express、 XXL-Job、XML-RPC、Saltstack、ThinkPHP 和 Drupal Ajax 的 6 個漏洞。

Juniper 研究人員 Paul Kimayong 指出，根據其經驗，以及觀察到的 Sysrv 二進位檔，他們相信攻擊者不斷在更新攻擊武器。

研究人員發現這隻惡意軟體開採的漏洞已經多達十多項，包括

CVE-2021-3129(Laravel)、CVE-2020-14882 (Oracle Weblogic)、CVE-2019-3396 (Widget Connector macro in Atlassian Confluence Server)、CVE-2019-10758 (Mongo Express)、CVE-2019-0193 (Apache Solr)、CVE-2017-9841 (PHPUnit)、CVE-2017-12149 (Jboss Application Server)、CVE-2017-11610 Supervisor (XML-RPC)、CVE-2019-7238 (Sonatype Nexus Repository Manager)，以及 Apache Hadoop 的未驗證指令執行漏洞、Jenkins 的暴力破解、Jupyter NotebookServe 的指令執行漏洞 、Tomcat Manager 未驗證上傳指令執行、以及 WordPress 的暴力破解漏洞。

Sysrv 使用多種礦池進行獲利

此外，受感染裝置加入的礦池也變了。Sysrv 的挖礦軟體是 XMRig 的開原碼版本，目前使用的礦池包括：Xmr-eu1.nanopool.org、f2pool.com、minexmr.com。

礦池是指一組礦工，他們集結運算資源以減少收益的不確定性，並增加找到交易區塊的機會。根據挖礦收益比較網站 PoolWatch.io 指出，Sysrv 使用的礦池是四大 Monero 挖池中的三個。

三者整合起來，幾乎佔了網路算力的 50%，攻擊者看中的似乎是具有高收益率的頂級礦池。而計算 Sysrv 的電子錢包位址，估計從 3/1 到 3/28 日已挖到 1,700 美元的 Monero 幣。

Sysrv 的二進位檔是一個 64-bit Go 程式，內有開原碼 UPX 可執行檔加殼器 (packer)，有 Windows 和 Linux 版本。二個 Windows 版二進位檔分別在 VirusTotal 上的 70 個掃毒引擎中的 33 個和 48 個偵測到，Linux 二進位檔則分別有 6 個和 9 個掃瞄引擎偵測到。

這隻殭屍網路程式的威脅不只是竊用裝置的運算資源和電力而已，它能挖礦表示也能植入勒索軟體以及其他惡意程式。Juniper 也公佈了 10 多項入侵指標給管理員檢查參考。

來源：Ars Technica