國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測��,發(fā)現(xiàn)Skidmap惡意軟件最新的攻擊活動��。Skidmap是具有Rootkit功能的Linux操作系統(tǒng)下的挖礦程序,其通過加載惡意內(nèi)核模塊以保持挖礦操作不被發(fā)現(xiàn)���,這些內(nèi)核模塊的Rootkit程序難以檢測��,攻擊者還可以獲得系統(tǒng)的訪問權(quán)限以實現(xiàn)更多的惡意操作���。
在攻擊中�,Skidmap惡意軟件通過Linux下的計劃任務(wù)crontab命令進行主程序的下載和安裝����,在安裝過程中,會修改目標系統(tǒng)的安全設(shè)置���,降低安全屬性��,以便順利完成自身的安裝�����。其通過兩種方式獲得系統(tǒng)的訪問權(quán)限:一是在系統(tǒng)的authorizde_keys文件中寫入密鑰��,系統(tǒng)認證通過后即可訪問目標主機�����;二是替換系統(tǒng)的pam_unix.so文件���,該文件用于系統(tǒng)認證的過程��,該文件被替換后�����,攻擊者可以用指定的密碼進行登錄�。Skidmap的主程序運行后����,會檢測感染的系統(tǒng)是否為Debian或者RHEL/CentOS:若目標系統(tǒng)是Debian,則會在指定目錄下釋放挖礦程序�����;若目標系統(tǒng)是RHEL/CentOS����,會從遠程服務(wù)器下載含有挖礦和其他多種功能組件的壓縮包�,再進行解壓縮和安裝。除挖礦功能外����,Skidmap還具有如下功能:一是替換系統(tǒng)程序�����,其通過建立計劃任務(wù)來下載并替換系統(tǒng)的rm程序��;二是在指定目錄下安裝名為“kaudited”的惡意程序����,運行后會釋放多個內(nèi)核程序(LKM)���,還會釋放監(jiān)視程序來監(jiān)視挖礦進程�;三是掛鉤系統(tǒng)調(diào)用�����,以便隱藏惡意程序�����;四是通過Rootkit偽造系統(tǒng)的網(wǎng)絡(luò)流量統(tǒng)計和CPU使用率��,這樣可以迷惑用戶����,在挖礦程序運行時不會被察覺�。
建議我國用戶尤其是使用Linux系統(tǒng)的用戶及時修補漏洞����,不要隨意運行來歷不明的程序,做好網(wǎng)絡(luò)安全防護措施����,謹防類似的攻擊活動。