Sysrv殭屍網路程式感染Windows、Linux機器挖礦

Juniper旗下安全研究單位近日發現一隻兼具蠕蟲及挖礦能力的殭屍網路程式，藉由開採Mongo、Drupal、Saltstack等軟體的遠端程式碼執行（RCE）漏洞，以感染Windows及Linux機器挖礦。

Juniper的ThreatLab實驗室去年12月間首先發現名為Sysrv的殭屍網路病毒，它在Windows裝置上安裝sysrv.exe而得名。經過一陣子沈寂，最近又開始活動，無論開採的漏洞、使用的挖礦程式都更擴增。

根據Juniper分析，Sysrv利用軟體漏洞自我複製散佈到未修補漏洞的系統，再下載一個惡意程式。研究人員偵測到Sysrv目前積極開採6種軟體漏洞，包括Mongo Express的 RCE (CVE-2019-10758)、Linux伺服器管理平台Saltstack RCE (CVE-2020-16846)、XXL-JOB 的Unauth RCE、開發框架ThinkPHP RCE、XML-RPC (CVE-2017-11610)及架站軟體Drupal Ajax 的RCE漏洞 (CVE-2018-7600)。

Sysrv利用上述軟體漏洞，自我複製到一組隨機公開IP以感染連網電腦。之後它在受害系統下載一個loader script，再從外部IP下載二進位檔案，為一個64-bit Go程式，內有開原碼UPX（Ultimate Packer for eXecutives，可執行檔加殼器），當中內含一個蠕蟲程式及挖礦程式，前者負責感染散佈，後者則利用這些受感染系統來挖Monero（門羅）幣。

分析這個二進位檔，研究人員發現，Sysrv其實不只感染6個漏洞，事實上曾經感染10多個軟體漏洞，包括Jenkis、Juypter Notebook Server、Tomcat Manager、WordPress、Oracle WebLogic、Lavavel、Atlassian Confluence Server、JBoss Application Server、Apahce Solr、Apache Hodoop等都曾被盯上。

圖片來源／Juniper

研究人員也發現它使用了Monero 4個主要礦池中的3個，集結了將近50%的網路算力。研究人員計算，Sysrv從3月1日起一整個月已挖了18個Monero（XMR）幣，約3,700美元。

雖然產出的金錢收益不多，但Ars Technica指出，這隻殭屍網路程式對用戶的威脅不只是竊取受害裝置的運算資源和增加耗電而已，也能植入勒索軟體以及其他惡意程式。