全能型惡意程式 Sysrv 可感染可挖礦 強力攻擊 Windows、Linux 系統中
研究人員發現一隻具有開採多項漏洞,還會挖礦的蠕蟲,近日開始針對 Windows 及 Linux 裝置發動攻擊。
Juniper 研究人員去年 12 月開始監控一隻稱為 Sysrv 的殭屍網路病毒。這隻惡意軟體元件之一是蠕蟲程式,可從一台有漏洞的裝置散佈到另一台裝置,完全不用任何使用者動作。它會先掃瞄網路上的漏洞裝置,找到時即會用它長期累積的一系列攻擊程式來感染裝置。
這隻軟體也具有挖礦能力,可利用感染裝置來挖 Monero 幣。每個元件都有一個個別的二進位檔案。
Sysrv 還會改版?
到了今年三月,Sysrv 的作者將之重新設計,把蠕蟲和挖礦整合為單一二進位檔,還加入可植入 SSH 金鑰的描述語言,這主要是使其能不受重開機影響,並且提升它的能力。這隻蠕蟲開採企業常用的軟體及框架,包括 Mongo Express、 XXL-Job、XML-RPC、Saltstack、ThinkPHP 和 Drupal Ajax 的 6 個漏洞。
Juniper 研究人員 Paul Kimayong 指出,根據其經驗,以及觀察到的 Sysrv 二進位檔,他們相信攻擊者不斷在更新攻擊武器。
研究人員發現這隻惡意軟體開採的漏洞已經多達十多項,包括
CVE-2021-3129(Laravel)、CVE-2020-14882 (Oracle Weblogic)、CVE-2019-3396 (Widget Connector macro in Atlassian Confluence Server)、CVE-2019-10758 (Mongo Express)、CVE-2019-0193 (Apache Solr)、CVE-2017-9841 (PHPUnit)、CVE-2017-12149 (Jboss Application Server)、CVE-2017-11610 Supervisor (XML-RPC)、CVE-2019-7238 (Sonatype Nexus Repository Manager),以及 Apache Hadoop 的未驗證指令執行漏洞、Jenkins 的暴力破解、Jupyter NotebookServe 的指令執行漏洞 、Tomcat Manager 未驗證上傳指令執行、以及 WordPress 的暴力破解漏洞。
Sysrv 使用多種礦池進行獲利
此外,受感染裝置加入的礦池也變了。Sysrv 的挖礦軟體是 XMRig 的開原碼版本,目前使用的礦池包括:Xmr-eu1.nanopool.org、f2pool.com、minexmr.com。
礦池是指一組礦工,他們集結運算資源以減少收益的不確定性,並增加找到交易區塊的機會。根據挖礦收益比較網站 PoolWatch.io 指出,Sysrv 使用的礦池是四大 Monero 挖池中的三個。
三者整合起來,幾乎佔了網路算力的 50%,攻擊者看中的似乎是具有高收益率的頂級礦池。而計算 Sysrv 的電子錢包位址,估計從 3/1 到 3/28 日已挖到 1,700 美元的 Monero 幣。
Sysrv 的二進位檔是一個 64-bit Go 程式,內有開原碼 UPX 可執行檔加殼器 (packer),有 Windows 和 Linux 版本。二個 Windows 版二進位檔分別在 VirusTotal 上的 70 個掃毒引擎中的 33 個和 48 個偵測到,Linux 二進位檔則分別有 6 個和 9 個掃瞄引擎偵測到。
這隻殭屍網路程式的威脅不只是竊用裝置的運算資源和電力而已,它能挖礦表示也能植入勒索軟體以及其他惡意程式。Juniper 也公佈了 10 多項入侵指標給管理員檢查參考。
來源:Ars Technica