本文探討 Linux 系統上各種不同挖礦( coinmining ) 程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。
在一般人的印象裡,Linux 生態系應該比其他作業系統更安全、也更穩定,所以才會連 Google、NASA 和美國國防部 (DoD) 都採用 Linux 來架設其網路基礎架構和系統。可惜的是,Linux 並非只受到知名大型機構青睞,它對網路犯罪集團來說也是相當具吸引力。
本篇部落格探討 Linux 系統上各種不同虛擬加密貨幣挖礦程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。
挖礦惡意程式依然活躍並持續演進
虛擬加密貨幣挖礦活動本質上不算惡意行為,頂多就是像 1800 年代的淘金熱一樣。只不過當年挖礦的工具是十字鎬和鏟子,如今換成了電腦,而開採的對象從黃金變成了各種虛擬加密貨幣,如:比特幣 (Bitcoin)、門羅幣 (Monero)、乙太幣 (Ethereum)、XRP 等等。隨著虛擬加密貨幣的市值 突破 3,500 億美元,虛擬加密貨幣已名符其實成為一種數位金礦。
但很不幸的,並非所有數位淘金者都會透過正當手段來賺錢。網路犯罪集團經常偷偷在一些使用者的裝置上安裝虛擬加密貨幣挖礦惡意程式,利用使用者的運算資源來幫他們挖礦,完全不經使用者同意。如此一來,他們完全不需投資任何挖礦設備就能輕鬆賺錢。
近年來, 虛擬加密貨幣挖礦惡意程式大量成長 ,尤其是門羅幣挖礦程式。因為這款虛擬加密貨幣提供了交易的完全匿名性與私密性,因此非常適合非法交易使用。除此之外,我們發現網路犯罪集團會利用各種手段來讓獲利最大化。他們喜歡鎖定一些運算效能強大的裝置,並且將其他競爭對手的挖礦程式清除,同時也試著擴大平台和裝置的版圖。
深入挖礦程式之爭
多年來,我們一直在研究 Linux 虛擬加密貨幣挖礦惡意程式的成長趨勢。之前我們就曾分析過 KORKERDS 這個 Linux 惡意程式,它會隨附在一個 rootkit 當中,用來隱藏惡意的處理程序,不讓系統監控工具發現。此外我們也探討過 Skidmap 這個會調降受害裝置資安設定的 Linux 惡意程式,而且它還能提供後門讓駭客存取裝置。
前述兩個挖礦惡意程式都展現了高超的技巧,利用受害裝置的資源幫駭客賺錢。今日,我們要特別點出我們從自家誘捕網路和網際網路上都觀察到的一項日益普遍的現象,那就是現在的挖礦程式都會將受害裝置、系統及環境內其他類似的惡意程式停用或移除。
根據我們所分析到的樣本,這類挖礦程式在感染裝置之後的第一件事就是檢查裝置上是否有其他競爭對手的挖礦程式。如果偵測到其他挖礦程式,就會清除競爭對手的處理程序,並從系統上將其程式徹底清除,確保它們無法再次啟動。
繼續閱讀