根據(jù)Check Point的一份研究報告，在2018年，加密貨幣挖礦惡意軟件對組織的影響是勒索軟件的十倍，而且越來越多的惡意軟件家族開始在他們的武器庫中加入針對加密貨幣的新功能。新版本變得越來越復雜，能夠更有效地隱藏進程，以避免被發(fā)現(xiàn)。

最近，網(wǎng)絡安全公司——趨勢科技(Trend Micro)報告了一個新惡意腳本，該腳本能夠刪除Linux系統(tǒng)中的其他惡意軟件，并在這些系統(tǒng)中安裝不同的加密貨幣挖礦軟件。此外，該腳本還將刪除系統(tǒng)中存在的其他加密貨幣挖礦軟件。在對其蜜罐機制進行例行日志檢查時，趨勢科技發(fā)現(xiàn)這個可疑的腳本下載了二進制文件。

檢查中發(fā)現(xiàn)的惡意腳本

惡意腳本與KORKERDS功能類似

研究人員分析發(fā)現(xiàn)，該腳本具有與另一個Linux rootkit程序KORKERDS類似的功能，除了一些細微的差異。

與KORKERDS相比，新惡意腳本不會卸載系統(tǒng)中已有的安全產(chǎn)品，也不會安裝rootkit。相反，它會刪除卸載KORKERDS礦工和rootkit組件。

從KORKERDS復制腳本代碼后，終止“kworkerds”進程

KORKERDS的rootkit組件在新版本中被刪除

該腳本下載加密貨幣礦工XMR-Stak(由趨勢科技檢測為Coinminer.Linux.MALXMR.UWEIU)的修改版本的二進制文件，這是一個通用Stratum礦池采礦機，可用于支持CPUs、AMD、NVIDIA GPUs的Cryptonight算法加密貨幣。

感染原理

研究人員分析了感染原理，發(fā)現(xiàn)它是通過TCP端口8161從一些IP攝像頭和Web服務開始的，攻擊者試圖上傳crontab文件：

隨后crontab下載并運行shell腳本，啟用攻擊者命名和標識的三個函數(shù)：

函數(shù)B殺死先前安裝的惡意軟件、挖錢機和所有與附帶惡意軟件相關(guān)的服務(Trend Micro檢測到的惡意軟件為SH.MALXMR.UWEIU)。它還會創(chuàng)建新的目錄、文件和停止連接到已標識IP地址的進程。

函數(shù)D從hxxp://yxarsh下載coin miner二進制文件。shop/64并運行它。

函數(shù)C從hxxp://yxarsh下載一個腳本。將其保存到/usr/local/bin/dns文件中，并創(chuàng)建一個新的crontab，以便在凌晨1點調(diào)用此腳本。它還下載hxxp://yxarsh.shop/1.jpg，并將其放在不同的crontabs中。

　　在這一階段，惡意軟件還將確保清除系統(tǒng)日志，以刪除其痕跡，并將實現(xiàn)持久性。一旦腳本到達目標設備，它將刪除所有惡意軟件、加密貨幣挖礦程序和與之相關(guān)的服務，試圖將所有可用資源用于自己的挖礦任務。通過殺死系統(tǒng)上的其他礦工軟件和惡意軟件，該腳本確保計算機的資源始終可用于其進程。

卸載此前安裝的惡意軟件、加密貨幣礦工，終止相關(guān)服務進程

“雖然包含刪除系統(tǒng)中其他惡意軟件的惡意軟件例程并不新鮮，但我們從未見過如此大規(guī)模地從系統(tǒng)中刪除Linux惡意軟件。消除競爭惡意軟件只是網(wǎng)絡犯罪分子利潤最大化的一種方式，“趨勢科技解釋道。

與往常一樣，保持系統(tǒng)最新并跟蹤資源使用是保持對加密貨幣挖礦保護的最佳方式，因為它們通常使用所有可用資源并導致設備性能明顯下降。

與KORKERDS相比，新腳本簡化了下載和執(zhí)行文件的例程，然后將加密貨幣礦工軟件安裝到系統(tǒng)中。查看其傳播例程，可以發(fā)現(xiàn)其大部分代碼也來自KORKERDS腳本，因為這些代碼仍然可以通過hxxps：//pastebin.com/u/SYSTEAM在線獲得Base64編碼。我們注意到PUT URL / fileserver / vMROB4ZhfLTljleL與實際crontab?之間沒有鏈接時的細微差別。雖然KORKERDS直接保存了crontab，但新腳本只插入一個crontab來獲取所有代碼和礦工。

新腳本從KORKERDS的Python腳本中復制代碼，用于自身傳播

結(jié)論

雖然刪除系統(tǒng)中其他惡意軟件的功能早已出現(xiàn)，但如此大規(guī)模地從系統(tǒng)中刪除Linux惡意軟件卻不常有。消除競爭性的惡意軟件只是網(wǎng)絡犯罪分子利潤最大化的一種方式。企業(yè)可以通過確保其系統(tǒng)下載合法供應商發(fā)布的最新補丁來保護自己免受各種不斷演變的攻擊。加密貨幣挖礦惡意軟件占用大量CPU和GPU資源，使系統(tǒng)運行緩慢。擁有多層保護系統(tǒng)可幫助IT管理員立即檢測、預防和解決諸如加密貨幣礦工等惡意軟件的感染，最小化不良影響并保持企業(yè)網(wǎng)絡正常運營。

妥協(xié)指標

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的因为apple无法检查其是否包含恶意软件_新Linux恶意脚本——清理其他恶意软件后再感染...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。