國家計算機病毒應急處理中心通過對互聯網的監(jiān)測��,發(fā)現Skidmap惡意軟件最新的攻擊活動���。Skidmap是具有Rootkit功能的Linux操作系統(tǒng)下的挖礦程序,其通過加載惡意內核模塊以保持挖礦操作不被發(fā)現����,這些內核模塊的Rootkit程序難以檢測,攻擊者還可以獲得系統(tǒng)的訪問權限以實現更多的惡意操作�。
在攻擊中,Skidmap惡意軟件通過Linux下的計劃任務crontab命令進行主程序的下載和安裝�,在安裝過程中,會修改目標系統(tǒng)的安全設置�,降低安全屬性,以便順利完成自身的安裝�����。其通過兩種方式獲得系統(tǒng)的訪問權限:一是在系統(tǒng)的authorizde_keys文件中寫入密鑰��,系統(tǒng)認證通過后即可訪問目標主機��;二是替換系統(tǒng)的pam_unix.so文件,該文件用于系統(tǒng)認證的過程���,該文件被替換后���,攻擊者可以用指定的密碼進行登錄���。Skidmap的主程序運行后�,會檢測感染的系統(tǒng)是否為Debian或者RHEL/CentOS:若目標系統(tǒng)是Debian�����,則會在指定目錄下釋放挖礦程序�����;若目標系統(tǒng)是RHEL/CentOS���,會從遠程服務器下載含有挖礦和其他多種功能組件的壓縮包���,再進行解壓縮和安裝。除挖礦功能外����,Skidmap還具有如下功能:一是替換系統(tǒng)程序��,其通過建立計劃任務來下載并替換系統(tǒng)的rm程序�����;二是在指定目錄下安裝名為“kaudited”的惡意程序�,運行后會釋放多個內核程序(LKM)����,還會釋放監(jiān)視程序來監(jiān)視挖礦進程;三是掛鉤系統(tǒng)調用���,以便隱藏惡意程序����;四是通過Rootkit偽造系統(tǒng)的網絡流量統(tǒng)計和CPU使用率���,這樣可以迷惑用戶����,在挖礦程序運行時不會被察覺����。
建議我國用戶尤其是使用Linux系統(tǒng)的用戶及時修補漏洞���,不要隨意運行來歷不明的程序,做好網絡安全防護措施�����,謹防類似的攻擊活動���。