趋势科技的研究人员最近观察到针对 Linux 机器的挖矿软件可以从受感染的系统中删除大量其他恶意软件家族。该威胁借用以前看到的恶意软件(如Xbash和KORKERDS)代码,将加密货币挖掘代码安装到受害机器上,并通过将自身植入系统和crontabs来实现持久性。
作为攻击内容的一部分,初始脚本将提供给目标,以删除大量已知的Linux恶意软件,挖矿软件以及与其他矿工服务和端口的连接,然后下载挖掘加密币的二进制文件。
该脚本类似于2018年11月观察到的KORKERDS矿工的代码,但它并不针对系统中存在的安全产品。相反,它针对KORKERDS矿工和rootkit组件,删除它复制代码的恶意软件的组件。
此外,该脚本还下载了加密货币挖掘恶意软件XMR-Stak的修改版本,XMR-Stak是一种通用的Stratum池式挖掘器,能够利用CPU和GPU功率来挖掘加密货币。
趋势科技的研究人员指出,这种感染通过TCP端口8161从一些IP摄像头和Web服务开始,攻击者试图上传一个下载并运行 shell 脚本作为JPG图像的crontab文件。
然后,脚本会“杀死”以前安装的恶意软件,挖矿软件以及所有附带恶意软件的所有相关服务,并创建新目录、文件,并停止连接到已识别IP地址的进程。
随后,脚本会下载挖矿的二进制文件和另一个脚本,接着创建一个新的crontab以在凌晨1点调用脚本。它还下载shell脚本本身(JPG文件)并将其放在不同的crontabs中。 下载和执行有效负载的代码主要来自KORKERDS脚本,但例程已经简化。
最后,安全研究人员点出,虽然这不是第一个试图从受感染机器中删除其他恶意软件的恶意软件,但它似乎是第一个试图以这种规模移除Linux威胁的恶意软件。 消除竞争恶意软件只是网络犯罪分子利润最大化的一种方式 。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 脱缰恶意SDK奴役千万用户手机做“肉鸡”
- DDoS攻击新趋势:海量移动设备成为新一代肉鸡
- 一次服务器沦陷为肉鸡后的实战排查过程!
- WordPress 主题开发商将客户当肉鸡,向对手发起 DDoS
- 新型僵尸网络目标锁定Hadoop服务器,利用“肉鸡”发动DDoS攻击
- 骚操作!WordPress流氓主题利用户服务器做肉鸡发动DDos攻击
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
