全能型惡意程式 Sysrv 可感染可挖礦 強力攻擊 Windows、Linux 系統中

研究人員發現一隻具有開採多項漏洞,還會挖礦的蠕蟲,近日開始針對Windows及Linux裝置發動攻擊。

研究人員發現一隻具有開採多項漏洞,還會挖礦的蠕蟲,近日開始針對 Windows 及 Linux 裝置發動攻擊。

Juniper 研究人員去年 12 月開始監控一隻稱為 Sysrv 的殭屍網路病毒。這隻惡意軟體元件之一是蠕蟲程式,可從一台有漏洞的裝置散佈到另一台裝置,完全不用任何使用者動作。它會先掃瞄網路上的漏洞裝置,找到時即會用它長期累積的一系列攻擊程式來感染裝置。

這隻軟體也具有挖礦能力,可利用感染裝置來挖 Monero 幣。每個元件都有一個個別的二進位檔案。

Sysrv 還會改版?

到了今年三月,Sysrv 的作者將之重新設計,把蠕蟲和挖礦整合為單一二進位檔,還加入可植入 SSH 金鑰的描述語言,這主要是使其能不受重開機影響,並且提升它的能力。這隻蠕蟲開採企業常用的軟體及框架,包括 Mongo Express、 XXL-Job、XML-RPC、Saltstack、ThinkPHP 和 Drupal Ajax 的 6 個漏洞。

Juniper 研究人員 Paul Kimayong 指出,根據其經驗,以及觀察到的 Sysrv 二進位檔,他們相信攻擊者不斷在更新攻擊武器。

研究人員發現這隻惡意軟體開採的漏洞已經多達十多項,包括

CVE-2021-3129(Laravel)、CVE-2020-14882 (Oracle Weblogic)、CVE-2019-3396 (Widget Connector macro in Atlassian Confluence Server)、CVE-2019-10758 (Mongo Express)、CVE-2019-0193 (Apache Solr)、CVE-2017-9841 (PHPUnit)、CVE-2017-12149 (Jboss Application Server)、CVE-2017-11610 Supervisor (XML-RPC)、CVE-2019-7238 (Sonatype Nexus Repository Manager),以及 Apache Hadoop 的未驗證指令執行漏洞、Jenkins 的暴力破解、Jupyter NotebookServe 的指令執行漏洞 、Tomcat Manager 未驗證上傳指令執行、以及 WordPress 的暴力破解漏洞。

Sysrv 使用多種礦池進行獲利

此外,受感染裝置加入的礦池也變了。Sysrv 的挖礦軟體是 XMRig 的開原碼版本,目前使用的礦池包括:Xmr-eu1.nanopool.org、f2pool.com、minexmr.com。

礦池是指一組礦工,他們集結運算資源以減少收益的不確定性,並增加找到交易區塊的機會。根據挖礦收益比較網站 PoolWatch.io 指出,Sysrv 使用的礦池是四大 Monero 挖池中的三個。

三者整合起來,幾乎佔了網路算力的 50%,攻擊者看中的似乎是具有高收益率的頂級礦池。而計算 Sysrv 的電子錢包位址,估計從 3/1 到 3/28 日已挖到 1,700 美元的 Monero 幣。

Sysrv 的二進位檔是一個 64-bit Go 程式,內有開原碼 UPX 可執行檔加殼器 (packer),有 Windows 和 Linux 版本。二個 Windows 版二進位檔分別在 VirusTotal 上的 70 個掃毒引擎中的 33 個和 48 個偵測到,Linux 二進位檔則分別有 6 個和 9 個掃瞄引擎偵測到。

這隻殭屍網路程式的威脅不只是竊用裝置的運算資源和電力而已,它能挖礦表示也能植入勒索軟體以及其他惡意程式。Juniper 也公佈了 10 多項入侵指標給管理員檢查參考。

來源:Ars Technica

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416