過往,挖礦軟件 XMRig 主要以 ARM-based 伺服器為目標,但最近有網絡保安研究發現,此軟件已開始感染 Intel X86 及 I686-based 伺服器,顯示企業亦開始成為挖礦軟件的新目標。
Akamai 保安研究員 Larry Cashdollar 於7月收集到的 650 隻 IoT 惡意程式樣本中,有一個為看似 .gzip 壓縮檔,誘導不知情用戶開啟後就會感染系統。這檔案包含二進位檔、腳本程式和函式庫,其中一個腳本程式可檢查受害系統是否曾感染過 XMrig,另一個腳本程式可將舊版軟體刪走再安裝最新版的 XMrig v2.14.1,並在 crontab 檔案中加入自己,以便未來受害者重開機後仍然能執行。
值得注意的是,第一個腳本程式執行時也建立三個不同目錄,分別包括 x86 32bit 或 64bit 格式的 XMrig v2.14.1 版本,有些二進位檔也會以普通的Unix公用程式命名如 ps 偽裝,以便混入正常的程序表(process list)中。等最新版 XMrig 安裝於 Intel 系統後,便與其他挖礦程式一樣,和外部 C&C 伺服器透過 port 22 建立 SSH 連線以獲取指令。這亦是繼 ARM 及 MIPS 架構伺服器之後,保安界發現駭客開始染指 Intel CPU 的伺服器。
研究人員警告,網路歹徒仍會持續設法從未設防的系統上挖礦斂財,故提醒系統管理員盡快修補漏洞、關閉不安全的服務,並採用強密碼、雙重密碼驗證及適當的弱點補救方案,以減少淪為挖礦區的機會。
