滑移图

加密劫持活动一直是网络犯罪领域的主要趋势之一，并且正如预期的那样，网络犯罪分子开始引入更高级的加密挖掘恶意软件，这些恶意软件可以逃避沙箱，在被删除后仍然存在，甚至掩盖其在受害者计算机上的存在。关于加密采矿恶意软件的另一件值得注意的事情是，它不仅确实针对Windows计算机-许多恶意软件家族都用于基于Linux的系统，而Skidmap就是这种情况。

加密货币挖矿恶意软件继续发展

Skidmap是一个新发现的恶意软件家族，其主要目的是部署预配置的加密货币矿工恶意软件，该恶意软件为攻击者生成Monero硬币。尽管这是您希望从密码劫持项目中看到的典型情况，但Skidmap的代码中还有很多其他内容。这种特定的恶意软件菌株能够利用“可加载内核模块”来操纵基于Linux的系统的配置和行为，因此确保了矿工恶意软件将尽可能长时间地继续运行。除此之外，Skidmap还可以通过对核心Linux模块进行一些更改为攻击者提供后门访问权限。尽管目前使用Skidmap恶意软件进行加密采矿，但其其他模块可以肯定地表明其作者可以根据需要执行更多具有威胁性的操作。

由于许多Skidmap的模块都需要root用户访问权限才能工作，因此攻击者很可能会利用未修补的漏洞，安全性较差的系统和其他高级感染媒介来确保其恶意软件将以管理特权运行。启动后，Skidmap将进行几处更改，目的是禁用SELinux（增强安全性的Linux）模块，以及通过用损坏的“ pam_unix.so”文件替换“ pam_unix.so”文件来设置所有用户帐户的主密码。由网络犯罪分子。作为备份措施，Skidmap恶意软件还将在'authorized_keys'文件中添加密钥，这将使攻击者能够使用SSH连接到受感染的主机。

Skidmap使用先进的技术来获得持久性和隐身性

完成此任务后，Skidmap将开始部署其模块以及负责Monero采矿操作的矿工恶意软件。后者可以放在不同的目录中，具体取决于受害者使用的Linux发行版的类型。 Skidmap加载的其他模块是：

• 它用伪造的模块代替了“ rm”模块，该模块被编程为以随机的时间间隔下载和启动文件。
• LKM模块充当rootkit，即使将其删除，也可以允许Skidmap恶意软件持久存在。
• 一个可以隐藏Skidmap和它丢弃的加密货币矿工使用的文件的模块。
• 伪造Linux交付的网络和CPU使用情况报告的模块。这可能会给PC用户留下印象，即尽管矿工恶意软件将使用其大部分资源，但他们的CPU没有被大量使用。

加密劫持恶意软件正在加载越来越多的功能，而Skidmap病毒是恶意软件研究人员必须处理的最高级项目之一。要保护您的系统免受Skidmap的攻击，需要使用正确配置的安全功能，信誉良好的防病毒引擎，强密码和最新软件。