過去挖礦軟件XMRig主要以ARM-based服務器為目標,但安全研究人員發現,它現在也開始感染Intel X86及I686-based服務器,顯示企業也成為挖礦軟件的新目標。
Akamai安全研究人員Larry Cashdollar在7月蒐集到的650只IoT惡意程序樣本中,其中一個看似.gzip壓縮檔,等待不知情的用戶開啟後感染系統。這個檔案包含二進位檔、腳本程序和函數庫,其中一個腳本程序可檢查受害系統是否之前有感染過XMrig,另一個腳本程序可將舊版軟件砍掉再安裝最新版的XMrig v2.14.1,並在crontab檔案中加入自己,以便未來受害者重開機後仍然能執行。
過去挖礦軟件XMRig主要以ARM-based服務器為目標,但安全研究人員發現,它現在也開始感染Intel X86及I686-based服務器,顯示企業也成為挖礦軟件的新目標。
Akamai安全研究人員Larry Cashdollar在7月蒐集到的650只IoT惡意程序樣本中,其中一個看似.gzip壓縮檔,等待不知情的用戶開啟後感染系統。這個檔案包含二進位檔、腳本程序和函數庫,其中一個腳本程序可檢查受害系統是否之前有感染過XMrig,另一個腳本程序可將舊版軟件砍掉再安裝最新版的XMrig v2.14.1,並在crontab檔案中加入自己,以便未來受害者重開機後仍然能執行。
值得注意的是,第一個腳本程序執行時也建立三個不同目錄,分別包括x86 32bit或64bit格式的XMrig v2.14.1版本,有些二進位檔也會以普通的Unix公用程序命名如ps偽裝,以便混入正常的程序表(process list)中。等最新版XMrig安裝於英特爾系統後,便與其他挖礦程序一樣,和外部C&C服務器透過port 22建立SSH連線以獲取指令。
而這也是繼ARM及MIPS架構服務器之後,安全界發現黑客開始染指Intel CPU的服務器。研究人員警告,網路歹徒仍會持續設法從未設防的系統上挖礦斂財,因此他提醒系統管理員儘早修補漏洞、關閉不安全的服務,並採用強密碼、雙因素驗證及適當的弱點補救方案,以減少淪為挖礦區的機會。
資料來源:iThome Security
相關推薦
