“Golang”变体:这就是门罗币挖矿恶意软件在 Linux 网络服务器上的工作方式


关键事实:

该恶意软件禁用 CPU 内存管理进程。

该蠕虫使用这个额外的内存从受害者的计算机中挖矿 XMR。

新版本的病毒或恶意软件可以获得比它感染的计算机容量高 15% 的性能; 确切地说,是基于 Linux 操作系统或软件的 Web 服务器,用于挖矿门罗币(XMR)。

谷歌、IBM、戴尔、甲骨文和亚马逊等公司都在使用基于 Linux 的服务器。 后者有一项在 Internet 上广泛使用的服务:Amazon Web Services,它可能很危险,因为该病毒具有在网络上的服务器之间传播的能力。

然而,研究人员表示,由于存在已知漏洞,除 Oracle WebLogic 外,这些公司尚未报告任何事件。

Uptycs 公司发布了一份报告,解释了蠕虫型恶意软件如何在感染基于 Linux 的网络服务器时禁用硬件或 CPU 的预测内存和性能功能,特别是硬件预取。

硬件预取由一系列过程组成,这些过程允许软件在面对将要执行的操作时预测其管理内存和总体性能的方式,并将这些指令保存在高速缓存中,以将它们传输到主存储器 当那一刻到来时。

Uptycs 调查中检测到的部分恶意代码。 该病毒引入了注册表修改驱动程序或 MSR,从而允许它停止或启用与受感染硬件相关的进程。 资料来源:Uptycs

在获得必要的空间和容量后,该蠕虫可以下载、安装和部署名为 XMRig 的软件,该软件是开源的,并被世界各地的门罗币挖矿社区 (XMR) 广泛使用。

在这种情况下,攻击者除了可能感染其他计算机外,还会恶意应用该挖矿软件,利用受害者以欺诈方式获取 XMR。

研究人员指出,该病毒的第一个版本已于 2020 年 12 月被检测到,并且还打算挖矿 XMR。 但是,它没有禁用硬件预取的能力,让你从挖矿中获得更好的性能。

基于 Go (Golang) 语言的蠕虫,攻击易受攻击的基于 Linux 或类似的服务器 [*nix o UNIX ],利用流行的网络服务器中的已知漏洞,试图自我传播并包括矿工。

我们的威胁情报系统于 2021 年 6 月发现了该蠕虫的新变种。 尽管某些功能与 Intezer 公司去年讨论的功能相似,但该恶意软件的新变种具有很多功能。

Uptycs。

该公司辩称,尽管 XMRing 挖矿软件不是恶意的,但它在其开源中包含了一项建议,以供用户从挖矿中获得更好的性能,优化 RandomX 算法的性能,Monero 网络使用该算法。

Web 服务器对 XMR 挖矿恶意软件并不陌生

Uptyc 在结束调查时指出,挖矿恶意软件仍然是生态系统中潜在且持续的威胁。 他们还警告说,病毒使用的驱动程序可能会永久损坏实体和公司服务器的运行,这些服务器是企业界重要网络的一部分。

据 CriptoNoticias 报道,尽管亚马逊并未受到这种特定病毒的影响,但就现有信息而言,它们在 2020 年 8 月受到了恶意 XMR 矿工的影响。

Web 服务器对不同类型的恶意软件很有吸引力,不仅因为它们拥有巨大的内存和处理能力,还因为它们享有连接性,这有助于通过网络 (Web) 感染其他计算机和服务器上的恶意软件。

资讯来源:由0x资讯编译自CRIPTONOTICIAS。版权归作者Luis Esparragoza所有,未经许可,不得转载

Total
0
Shares
Related Posts