加密货币挖矿(Cryptomining)恶意软件使用Rootkit在受感染的Linux
趋势科技安全研究人员发现了一种针对Linux计算机的新加密货币挖矿恶意软件,它能够使用rootkit从用户和进程监控工具中混淆自己。
于没有明显的方式,加密恶意软件设法入侵和感染Linux机器,趋势科技公司的研究人员认为,这种恶意软件的幕后黑手能够破坏一个合法的应用程序,并利用它在目标电脑上安装恶意工具。
“我们认为这种加密货币挖矿恶意软件的感染载体是一种恶意的,第三方的/非官方的或受威胁的插件(也就是病毒),”趋势科技的报告称。
“安装一个需要授予它管理员权限,并且在受到攻击的应用程序的情况下,恶意软件可以使用授予应用程序的权限运行。这不是一个不常见的载体,因为其他Linux加密货币挖矿恶意软件工具也使用它作为入点“。
趋势科技已将Monero-mining恶意软件Coinminer.Linux.KORKERDS.AB及其用于隐藏的rootkit组件命名为Rootkit.Linux.KORKERDS.AA。
Monero挖矿恶意软件使用rootkit组件隐藏,但无法掩盖增加的资源使用情况
鉴于大多数系统监控工具都会说所有正在运行的进程都表现正常,并且恶意软件产生的“kworkerds”进程正在使用,因此硬币模拟器隐藏在自己的视线中,而用户无法指出为什么Linux驱动的机器存在性能问题。被rootkit隐藏。
由于大多数系统监控工具会说所有正在运行的进程都表现正常,而用户无法指出为什么Linux驱动的机器存在性能问题,使用“kworkerds”进程,恶意软件会被rootkit隐藏,因此该计算器隐藏在自己的视线中。
这意味着,虽然用户将能够看到系统的CPU使用率正在上升,但他将无法确定究竟是什么原因产生的,这使得解决问题和检测/删除恶意软件的任务非常棘手。
“虽然rootkit无法隐藏高CPU使用率和加密货币连接器的连接,但它通过编辑几行代码并重新利用现有代码或工具来改善其隐秘性,”趋势科技表示。 “由于恶意软件能够自我更新,我们希望其运营商能够添加更多功能,以使其恶意软件更有利可图。”
趋势科技在同一天发现并公布了另一个恶意加密器(检测为Coinminer.Win32.MALXMR.TIAOODAM),它正在使用各种方法对Windows机器进行攻击。像其以Linux为重点一样尽可能地隐藏起来。