ASEC分析團隊近日發現,一款使用Shc開發的Linux惡意軟體一直在安裝CoinMiner。據推測,會對管理不佳的 Linux SSH
服務器進行字典攻擊,成功驗證後,目標系統上安裝了各種惡意軟體。安裝的包括 Shc Downloader、 XMRig CoinMiner
以及使用 Perl 開發的 DDoS IRC Bot。
1. Shc (Shell Script Compiler):
具有將 Bash shell 程式碼轉換為可執行 ELF 文件格式的 Shc 一樣,Windows 具有將處理程式碼轉換為可執行 EXE文件格式的 bat2exe 實用程序。在 Windows 環境中,威脅者使用 bat2exe
將惡意處理程式碼轉換為可執行文件,然後再分發它們,以繞過反惡意軟體產品等安全軟體的文件檢測。威脅者不按原樣分發 bash shell程式碼而是在分發它們之前將它們轉換為 ELF 的原因很可能是為了逃避文件檢測。
2. Shc Downloader:
遭受滲透攻擊的Shc惡意軟體的解碼Bash shell腳本中。它從外部源下載並運行文件,該惡意軟體具有使用 Perl 開發的 DDoS IRC
Bot 惡意軟體感染系統的特性。這些 DDoS IRC Bots 在過去幾年中不斷地以不適當的帳戶訊息安裝在 Linux服務器上,並且一直持續到今天。威脅者在掃描過程後嘗試對 SSH 服務器進行字典攻擊,如果此過程成功,則會在目標系統上安裝各種惡意軟體,例如
Perl IRC Bot。其他惡意軟體包括 XMRig、SSH Scanner 和各種 IRC Bot 惡意軟體。
3.XMRig CoinMiner:
Shc 下載器惡意軟體負責從外部源將壓縮文件下載到路徑“/usr/local/games/”並執行“運行”文件。目前可供下載的壓縮文件不僅包括XMRig CoinMiner 惡意軟體,還包括帶有 URL 和 運行 程式碼的 config.json。
4.DDoS IRC Bot:
在受感染的系統上安裝 CoinMiner 之外,攻擊者還安裝了一個 IRC 機器人,它可以通過接收命令來執行 DDoS攻擊。該殭屍程序不僅支援 TCP Flood、UDP Flood 和 HTTP Flood 等 DDoS
攻擊,還支持各種其他功能,包括命令執行、反向 shell、端口掃描和日誌刪除。 |