全能型惡意程式Sysrv可感染可挖礦 強力攻擊Windows、Linux系統中

研究人員發現一隻具有開採多項漏洞，還會挖礦的蠕蟲，近日開始針對Windows及Linux裝置發動攻擊。

Juniper研究人員去年12月開始監控一隻稱為Sysrv的殭屍網路病毒。這隻惡意軟體元件之一是蠕蟲程式，可從一台有漏洞的裝置散佈到另一台裝置，完全不用任何使用者動作。它會先掃瞄網路上的漏洞裝置，找到時即會用它長期累積的一系列攻擊程式來感染裝置。

這隻軟體也具有挖礦能力，可利用感染裝置來挖Monero幣。每個元件都有一個個別的二進位檔案。

Sysrv還會改版？

到了今年三月，Sysrv的作者將之重新設計，把蠕蟲和挖礦整合為單一二進位檔，還加入可植入SSH金鑰的描述語言，這主要是使其能不受重開機影響，並且提升它的能力。這隻蠕蟲開採企業常用的軟體及框架，包括Mongo Express、 XXL-Job、XML-RPC、Saltstack、ThinkPHP和Drupal Ajax的6個漏洞。

Juniper研究人員Paul Kimayong指出，根據其經驗，以及觀察到的Sysrv二進位檔，他們相信攻擊者不斷在更新攻擊武器。

研究人員發現這隻惡意軟體開採的漏洞已經多達十多項，包括

CVE-2021-3129(Laravel)、CVE-2020-14882 (Oracle Weblogic)、CVE-2019-3396 (Widget Connector macro in Atlassian Confluence Server)、CVE-2019-10758 (Mongo Express)、CVE-2019-0193 (Apache Solr)、CVE-2017-9841 (PHPUnit)、CVE-2017-12149 (Jboss Application Server)、CVE-2017-11610 Supervisor (XML-RPC)、CVE-2019-7238 (Sonatype Nexus Repository Manager)，以及Apache Hadoop 的未驗證指令執行漏洞、Jenkins的暴力破解、Jupyter NotebookServe的指令執行漏洞 、Tomcat Manager未驗證上傳指令執行、以及WordPress的暴力破解漏洞。

Sysrv使用多種礦池進行獲利

此外，受感染裝置加入的礦池也變了。Sysrv的挖礦軟體是XMRig的開原碼版本，目前使用的礦池包括：Xmr-eu1.nanopool.org、f2pool.com、minexmr.com。

礦池是指一組礦工，他們集結運算資源以減少收益的不確定性，並增加找到交易區塊的機會。根據挖礦收益比較網站PoolWatch.io指出，Sysrv使用的礦池是四大Monero挖池中的三個。

三者整合起來，幾乎佔了網路算力的50%，攻擊者看中的似乎是具有高收益率的頂級礦池。而計算Sysrv的電子錢包位址，估計從3/1到3/28日已挖到1,700美元的Monero幣。

Sysrv的二進位檔是一個64-bit Go程式，內有開原碼UPX可執行檔加殼器(packer)，有Windows和Linux版本。二個Windows版二進位檔分別在VirusTotal上的70個掃毒引擎中的33個和48個偵測到，Linux二進位檔則分別有6個和9個掃瞄引擎偵測到。

這隻殭屍網路程式的威脅不只是竊用裝置的運算資源和電力而已，它能挖礦表示也能植入勒索軟體以及其他惡意程式。Juniper也公佈了10多項入侵指標給管理員檢查參考。

來源：Ars Technica