趋势科技的研究人员最近观察到针对Linux机器的挖矿软件可以从受感染的系统中删除大量其他恶意软件家族。该威胁借用以前看到的恶意软件(如Xbash和KORKERDS)代码,将加密货币挖掘代码安装到受害机器上,并通过将自身植入系统和crontabs来实现持久性。
作为***内容的一部分,初始脚本将提供给目标,以删除大量已知的Linux恶意软件,挖矿软件以及与其他矿工服务和端口的连接,然后下载挖掘加密币的二进制文件。
该脚本类似于2018年11月观察到的KORKERDS矿工的代码,但它并不针对系统中存在的安全产品。相反,它针对KORKERDS矿工和rootkit组件,删除它复制代码的恶意软件的组件。
此外,该脚本还下载了加密货币挖掘恶意软件XMR-Stak的修改版本,XMR-Stak是一种通用的Stratum池式挖掘器,能够利用CPU和GPU功率来挖掘加密货币。
趋势科技的研究人员指出,这种感染通过TCP端口8161从一些IP摄像头和Web服务开始,***者试图上传一个下载并运行shell脚本作为JPG图像的crontab文件。
然后,脚本会“杀死”以前安装的恶意软件,挖矿软件以及所有附带恶意软件的所有相关服务,并创建新目录、文件,并停止连接到已识别IP地址的进程。
随后,脚本会下载挖矿的二进制文件和另一个脚本,接着创建一个新的crontab以在凌晨1点调用脚本。它还下载shell脚本本身(JPG文件)并将其放在不同的crontabs中。 下载和执行有效负载的代码主要来自KORKERDS脚本,但例程已经简化。
最后,安全研究人员点出,虽然这不是第一个试图从受感染机器中删除其他恶意软件的恶意软件,但它似乎是第一个试图以这种规模移除Linux威胁的恶意软件。消除竞争恶意软件只是网络犯罪分子利润最大化的一种方式。
转载于:https://blog.51cto.com/13520190/2349695