本文探討 Linux 系統上各種不同挖礦( coinmining )程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。

在一般人的印象裡，Linux 生態系應該比其他作業系統更安全、也更穩定，所以才會連 Google、NASA 和美國國防部 (DoD) 都採用 Linux 來架設其網路基礎架構和系統。可惜的是，Linux 並非只受到知名大型機構青睞，它對網路犯罪集團來說也是相當具吸引力。  

本篇部落格探討 Linux 系統上各種不同虛擬加密貨幣挖礦程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。

挖礦惡意程式依然活躍並持續演進

虛擬加密貨幣挖礦活動本質上不算惡意行為，頂多就是像 1800 年代的淘金熱一樣。只不過當年挖礦的工具是十字鎬和鏟子，如今換成了電腦，而開採的對象從黃金變成了各種虛擬加密貨幣，如：比特幣 (Bitcoin)、門羅幣 (Monero)、乙太幣 (Ethereum)、XRP 等等。隨著虛擬加密貨幣的市值突破 3,500 億美元，虛擬加密貨幣已名符其實成為一種數位金礦。

但很不幸的，並非所有數位淘金者都會透過正當手段來賺錢。網路犯罪集團經常偷偷在一些使用者的裝置上安裝虛擬加密貨幣挖礦惡意程式，利用使用者的運算資源來幫他們挖礦，完全不經使用者同意。如此一來，他們完全不需投資任何挖礦設備就能輕鬆賺錢。

近年來， 虛擬加密貨幣挖礦惡意程式大量成長，尤其是門羅幣挖礦程式。因為這款虛擬加密貨幣提供了交易的完全匿名性與私密性，因此非常適合非法交易使用。除此之外，我們發現網路犯罪集團會利用各種手段來讓獲利最大化。他們喜歡鎖定一些運算效能強大的裝置，並且將其他競爭對手的挖礦程式清除，同時也試著擴大平台和裝置的版圖。

深入挖礦程式之爭

多年來，我們一直在研究 Linux 虛擬加密貨幣挖礦惡意程式的成長趨勢。之前我們就曾分析過 KORKERDS 這個 Linux 惡意程式，它會隨附在一個 rootkit 當中，用來隱藏惡意的處理程序，不讓系統監控工具發現。此外我們也探討過 Skidmap 這個會調降受害裝置資安設定的 Linux 惡意程式，而且它還能提供後門讓駭客存取裝置。

前述兩個挖礦惡意程式都展現了高超的技巧，利用受害裝置的資源幫駭客賺錢。今日，我們要特別點出我們從自家誘捕網路和網際網路上都觀察到的一項日益普遍的現象，那就是現在的挖礦程式都會將受害裝置、系統及環境內其他類似的惡意程式停用或移除。

根據我們所分析到的樣本，這類挖礦程式在感染裝置之後的第一件事就是檢查裝置上是否有其他競爭對手的挖礦程式。如果偵測到其他挖礦程式，就會清除競爭對手的處理程序，並從系統上將其程式徹底清除，確保它們無法再次啟動。 

許多釣魚網頁會放在使用欺騙性網域名稱的網站或用網站產生器製作的網頁。然而最近因為有了僅需幾分鐘即可設定好的工具表單，讓製作釣魚網頁的難度大大降低。

一直以來，網路都是各行各業不可或缺的工具，在面臨新冠狀病毒(COVID-19,俗稱武漢肺炎) 情爆發的現在更是如此，許多公司都依靠網路連線來完成在家工作。不幸的是，網路犯罪分子也會利用網路的可用性來從使用者身上賺取金錢。最常見的手段之一是利用網路釣魚(Phishing)。

網路釣魚騙局會利用收集敏感資訊（如信用卡號、社會保險號和帳戶帳密等）的網站服務。許多都放在使用欺騙性網域名稱的網站或用網站產生器製作的網頁。然而最近因為有了表單（僅需幾分鐘即可設定好的工具），讓釣魚網頁的製作變得更加容易。

延伸閱讀: 駭客跟著你一起在家上班! 登入憑證網路釣魚「疫」常激增

13 個合法表單服務網站被惡意建立釣魚表單

以下是常被用來建立釣魚表單的表單產生服務。但要注意的是這些本身是合法、非惡意的網站。不過就如同其他合法平台一樣，它們也會被惡意使用：

1. 123formbuilder.com
2. docs.google.com
3. form.simplesurvey.com
4. formpl.us
5. forms.gle
6. forms.office.com
7. formtools.com
8. smartsurvey.co.uk
9. supersimplesurvey.com
10. survey.survicate.com
11. surveygizmo.com
12. survs.com
13. zfrmz.com

CVE 最近又發布了一個新的漏洞：CVE-2020-1472，並且登上了不少媒體版面。這個被稱為「Zerologon」的新漏洞可讓駭客利用 Netlogon 認證所使用的加密演算法來假冒任何電腦向網域控制站取得認證。

 簡單來說，這就是 Netlogon Remote Protocol (MS-NRPC 通訊協定) 的一個漏洞，會讓駭客能在網路上的裝置執行惡意程式。駭客可以利用 MS-NRPC 通訊協定向網域控制站 (Domain Controller，簡稱 DC) 認證以取得系統管理權限。

根據我們 ZDI 漏洞懸賞計畫研究人員 Dustin Childs 指出：「更糟糕的是，目前並無法徹底解決該漏洞，此次修補更新只是讓網域控制站可暫時保護裝置，下次的修補更新 (預定 2021 年第一季推出) 才會強迫 Netlogon 使用安全的 RPC 通訊協定來徹底解決這項問題。不過套用這個修補更新之後，您還是要調整網域控制站的設定。Microsoft 已針對這些設定發布了一份指南來協助系統管理員進行調整。」

已經有了修補更新，為何這還會是個大問題？