新Linux恶意脚本——清理其他恶意软件后再感染

根据Check Point的一份研究 告，在2018年，加密货币挖矿恶意软件对组织的影响是勒索软件的十倍，而且越来越多的恶意软件家族开始在他们的武器库中加入针对加密货币的新功能。新版本变得越来越复杂，能够更有效地隐藏进程，以避免被发现。

最近， 络安全公司——趋势科技（Trend Micro） 告了一个新恶意脚本，该脚本能够删除Linux系统中的其他恶意软件，并在这些系统中安装不同的加密货币挖矿软件。此外，该脚本还将删除系统中存在的其他加密货币挖矿软件。在对其蜜罐机制进行例行日志检查时，趋势科技发现这个可疑的脚本下载了二进制文件。

检查中发现的恶意脚本

恶意脚本与KORKERDS功能类似

研究人员分析发现，该脚本具有与另一个Linux rootkit程序KORKERDS类似的功能，除了一些细微的差异。

与KORKERDS相比，新恶意脚本不会卸载系统中已有的安全产品，也不会安装rootkit。相反，它会删除卸载KORKERDS矿工和rootkit组件。

从KORKERDS复制脚本代码后，终止“kworkerds”进程

KORKERDS的rootkit组件在新版本中被删除

该脚本下载加密货币矿工XMR-Stak（由趋势科技检测为Coinminer.Linux.MALXMR.UWEIU）的修改版本的二进制文件，这是一个通用Stratum矿池采矿机，可用于支持CPUs、AMD、NVIDIA GPUs的Cryptonight算法加密货币。

感染原理

研究人员分析了感染原理，发现它是通过TCP端口8161从一些IP摄像头和Web服务开始的，攻击者试图上传crontab文件：

随后crontab下载并运行shell脚本，启用攻击者命名和标识的三个函数：

函数B杀死先前安装的恶意软件、挖钱机和所有与附带恶意软件相关的服务(Trend Micro检测到的恶意软件为SH.MALXMR.UWEIU)。它还会创建新的目录、文件和停止连接到已标识IP地址的进程。

函数D从hxxp://yxarsh下载coin miner二进制文件。shop/64并运行它。

函数C从hxxp://yxarsh下载一个脚本。将其保存到/usr/local/bin/dns文件中，并创建一个新的crontab，以便在凌晨1点调用此脚本。它还下载hxxp://yxarsh.shop/1.jpg，并将其放在不同的crontabs中。

在这一阶段，恶意软件还将确保清除系统日志，以删除其痕迹，并将实现持久性。一旦脚本到达目标设备，它将删除所有恶意软件、加密货币挖矿程序和与之相关的服务，试图将所有可用资源用于自己的挖矿任务。通过杀死系统上的其他矿工软件和恶意软件，该脚本确保计算机的资源始终可用于其进程。

卸载此前安装的恶意软件、加密货币矿工，终止相关服务进程

“虽然包含删除系统中其他恶意软件的恶意软件例程并不新鲜，但我们从未见过如此大规模地从系统中删除Linux恶意软件。消除竞争恶意软件只是 络犯罪分子利润最大化的一种方式，“趋势科技解释道。

与往常一样，保持系统最新并跟踪资源使用是保持对加密货币挖矿保护的最佳方式，因为它们通常使用所有可用资源并导致设备性能明显下降。

与KORKERDS相比，新脚本简化了下载和执行文件的例程，然后将加密货币矿工软件安装到系统中。查看其传播例程，可以发现其大部分代码也来自KORKERDS脚本，因为这些代码仍然可以通过hxxps：//pastebin.com/u/SYSTEAM在线获得Base64编码。我们注意到PUT URL / fileserver / vMROB4ZhfLTljleL与实际crontab 之间没有链接时的细微差别。虽然KORKERDS直接保存了crontab，但新脚本只插入一个crontab来获取所有代码和矿工。

新脚本从KORKERDS的Python脚本中复制代码，用于自身传播

结论

虽然删除系统中其他恶意软件的功能早已出现，但如此大规模地从系统中删除Linux恶意软件却不常有。消除竞争性的恶意软件只是 络犯罪分子利润最大化的一种方式。企业可以通过确保其系统下载合法供应商发布的最新补丁来保护自己免受各种不断演变的攻击。加密货币挖矿恶意软件占用大量CPU和GPU资源，使系统运行缓慢。拥有多层保护系统可帮助IT管理员立即检测、预防和解决诸如加密货币矿工等恶意软件的感染，最小化不良影响并保持企业 络正常运营。

妥协指标