圖片來源: 

BeatingBetting.co.uk (CC BY 2.0)

安全廠商Palo Alto本周揭露一隻名為Watchdog的挖礦程式,鎖定並劫持Windows及類UNIX系統挖礦至少2年,是已知規模最大、時間最長的Monero挖礦劫持攻擊。

Palo Alto旗下的Unit42安全實驗指出,WatchDog名稱是從Linux精靈程式watchdogd而來。它至少從2019年1月就開始感染伺服器,並暗中從事門羅幣(Monero)的挖礦。

控制WatchDog的駭客利用33種不同的開採工具,來駭入目標系統的32項軟體漏洞。他們的目標軟體包括Drupal、Elasticsearch、Apache Hadoop、Redis、SQLServer、ThinkPHP及Oracle WebLogic。研究人員估計WatchDog由3種Go語言寫成的二進位程式,及一個bash或PowerShell script檔組成。這些二進位程式,一個模擬Linux watchdogd精靈確保挖礦過程不會無預期中斷或終止,一個下載之前掃瞄找到的一組Windows或NIX目標系統的IP位址清單,以便對這些機器執行開採指令,另一個則利用bash或PowerShell script,對這些系統啟動挖礦。使用Go二進位程式讓WatchDog可在不同OS上(Windows或NIX)執行,只要目標系統安裝Go平臺。

Unit42小組研究人員找到WatchDog部署的殭屍網路架構,辨識出18個根IP終端及7臺惡意網域,可支援至少125個可下載工具到受害系統的URL。

研究人員判斷,WatchDog控制的機器大約在500到1000臺之間,其中以Windows及類UNIX雲端執行個體為主,平均至少控制476臺系統保持運作,產出的算力達1,037KH/s,兩年來這隻程式至少挖了209個Monero(XMR),價格約32,056美元。

這並非Palo Alto第一次發現會自主感染的挖礦程式。2019年他們也曾發現名為Graboid的挖礦蠕蟲,劫持超過2,000臺Docker Hub主機用於挖掘Monero加密貨幣。Graboid在被發現並移除前曾潛伏了3個月。

但是WatchDog似乎更高明。它不需要第三方伺服器來下載惡意酬載,這使得它得以持續挖礦活動,時間超過2年。

研究人員認為運作WatchDog的駭客經驗老道,雖然目前尚未看到它已駭入雲端系統,像是竊取雲端平臺的身份及存取管理(IAM)系統的登入權限、存取ID或金鑰,但相當有可能日後駭入雲端帳號。這群人極可能在植入挖礦軟體時取得根帳號或管理員存取權限,進而取得了雲端系統的IAM相關資訊。

研究人員建議系統管理員應確保系統軟體在新版本,以免自家系統成了駭客的挖礦機器。

熱門新聞

Advertisement