一种使用 SHC(Shell 脚本编译器)创建的新 Linux 恶意软件下载器已在野外被发现,它会感染带有 Monero 加密货币矿工和 DDoS IRC 机器人的系统。
据 发现该攻击的ASEC 研究人员称,SHC 加载程序是由韩国用户上传到 VirusTotal 的,攻击通常集中在同一国家的 Linux 系统上。
分析师表示,这些攻击可能依赖于在 Linux 服务器上通过 SSH 暴力破解弱管理员帐户凭据。
隐形装载
SHC 是 Linux 的“通用 shell 脚本编译器”,能够将 Bash shell 脚本转换为 ELF(Linux 和 Unix 可执行文件)文件。
威胁参与者使用的恶意 Bash shell 脚本通常包含系统命令,这些命令可以被安装在 Linux 设备上的安全软件检测到。
由于 SHC ELF 可执行文件中的脚本是使用 RC4 算法编码的,因此恶意命令不容易被安全软件识别,从而可能允许恶意软件逃避检测。
来源:ASEC
丢弃大量有效载荷
当执行 SHC 恶意软件下载程序时,它会获取多个其他恶意软件负载并将它们安装到设备上。
其中一个有效载荷是 XMRig 矿工,它作为 TAR 存档从远程 URL 下载并提取到“/usr/local/games/”并执行。
该存档还包含“运行”脚本和矿工的配置文件,它指向已配置的矿池。
来源:ASEC
XMRig 是一种 被广泛滥用 的开源 CPU 加密货币矿工,通常设置为使用受感染服务器的可用计算资源来挖掘门罗币。
将配置与矿工捆绑在一起有助于最大限度地减少与 C2 的通信,并在威胁参与者的服务器离线时保持加密挖掘继续进行。
SHC 恶意软件下载程序检索、丢弃和加载的第二个有效载荷是基于 Pearl 的 DDoS IRC 机器人。
该恶意软件使用配置数据连接到指定的 IRC 服务器,并通过基于用户名的验证过程。
如果成功,恶意软件将等待来自 IRC 服务器的命令,包括与 DDoS 相关的操作,如 TCP Flood、UDP Flood 和 HTTP Flood、端口扫描、Nmap 扫描、sendmail 命令、进程终止、日志清理等。
来源:ASEC
ASEC 警告说,此类攻击通常是由于在暴露的 Linux 服务器上使用弱密码引起的。
“正因为如此,管理员应该为他们的帐户使用难以猜测的密码并定期更改它们以保护Linux服务器免受暴力攻击和字典攻击,并更新到最新补丁以防止漏洞攻击,”ASEC建议道。
“管理员还应该使用安全程序,例如防火墙,用于从外部访问的服务器,以限制攻击者的访问。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的SHC编译的Linux恶意软件安装加密矿工DDoS机器人
