滑移圖

加密劫持活動一直是網絡犯罪領域的主要趨勢之一,並且正如預期的那樣,網絡犯罪分子開始引入更高級的加密挖掘惡意軟件,這些惡意軟件可以逃避沙箱,在被刪除後仍然存在,甚至掩蓋其在受害者計算機上的存在。關於加密採礦惡意軟件的另一個值得注意的事情是,它不僅確實針對Windows計算機-許多惡意軟件系列都用於基於Linux的系統,而Skidmap就是這種情況。

加密貨幣挖礦惡意軟件繼續發展

Skidmap是一個新發現的惡意軟件家族,其主要目的是部署預配置的加密貨幣礦工惡意軟件,該惡意軟件為攻擊者生成Monero硬幣。儘管這是您希望從密碼劫持項目中看到的典型情況,但Skidmap的代碼中還有很多其他內容。這種特定的惡意軟件壓力能夠利用“可加載的內核模塊”來操縱基於Linux的系統的配置和行為,因此確保了礦工惡意軟件將盡可能長時間地繼續運行。除此之外,Skidmap還可以通過對核心Linux模塊進行一些更改為攻擊者提供後門訪問權限。儘管目前使用Skidmap惡意軟件進行加密採礦,但其其他模塊可以肯定地表明其作者可以根據需要執行更多具有威脅性的操作。

由於許多Skidmap的模塊都需要root用戶訪問權限才能工作,因此攻擊者很可能會利用未修補的漏洞,安全性較差的系統和其他高級感染媒介來確保其惡意軟件將以管理特權運行。啟動後,Skidmap將進行幾處更改,目的是禁用SELinux(增強安全性的Linux)模塊,以及通過用損壞的“ pam_unix.so”文件替換“ pam_unix.so”文件來設置所有用戶帳戶的主密碼。由網絡犯罪分子。作為一種備份措施,Skidmap惡意軟件還將在'authorized_keys'文件中添加密鑰,使攻擊者能夠使用SSH連接到受感染的主機。

Skidmap使用先進的技術來獲得持久性和隱身性

完成此任務後,Skidmap將開始部署其模塊以及負責Monero採礦操作的礦工惡意軟件。後者可以放在不同的目錄中,具體取決於受害者使用的Linux發行版的類型。 Skidmap加載的其他模塊是:

  • 它用偽造的模塊代替了“ rm”模塊,該模塊被編程為以隨機的時間間隔下載和啟動文件。
  • LKM模塊充當rootkit,即使將其刪除,也可以允許Skidmap惡意軟件持久存在。
  • 一個可以隱藏Skidmap和它丟棄的加密貨幣礦工使用的文件的模塊。
  • 偽造Linux交付的網絡和CPU使用情況報告的模塊。這可能會給PC用戶留下印象,即儘管礦工惡意軟件將使用其大部分資源,但他們的CPU沒有被大量使用。

加密劫持的惡意軟件正在加載越來越多的功能,而Skidmap病毒是惡意軟件研究人員必須處理的最高級的項目之一。要保護您的系統免受Skidmap的侵擾,需要使用正確配置的安全功能,信譽良好的防病毒引擎,強密碼和最新軟件。

熱門

最受關注

加載中...