2024年10月3日

DoctorWeb公司反病毒分析师侦测到rootkit新变种。这一新变种在被感染的Linux计算机安装挖矿木马Skidmap，rootkit为操作系统内核的恶意模块，通过替换处理器负载和网络活动的相应信息来隐藏挖矿木马的活动。此次攻击为规模行进攻，主要针对企业部门的大型服务器和云环境，原因是利用这些资源可实现挖矿效率的最大化。

Redis数据库管理系统是世界上最常用的数据库管理系统之一，像X（之前名为Twitter）、AirBnB、Amazon这样的大公司都在使用Redis服务器。这种系统的优点很明显：拥有最大的性能，同时对资源需求最小且支持各种数据类型和语言编程。但也有弱点：由于Redis的应用最初并不是在网络外围，因此默认配置仅支持基本的安全功能，并且6.0之前的版本缺乏访问控制和加密机制。此外，每年专业媒体都会出现发现Redis漏洞的报道，如，2023年就记录到12个漏洞，其中3个被确定为“重大”漏洞。服务器被攻破后被安装挖矿软件而受到损害的报导日渐增多，引起我公司反病毒实验室的兴趣，我们的技术专家决定对此类攻击进行一次直接观察。为此，我们决定在停用保护机制的情况下启动我们的Redis服务器，以此为饵坐等不速之客。在这一年的时间里，这台服务器每个月都遭受到10次到14,000次攻击，而最近服务器上出现了我们的分析师等待已久的恶意软件Skidmap。而且，还有令人意想不到的收获：在这起进攻中，网络犯罪分子使用了一种隐藏挖矿活动的新方法，并且同时安装了四个后门。

有关Skidmap木马的第一份报告出现于2019年。这种木马挖矿程序具有一定的定向性，主要是出现在企业网络，因为利用企业资源秘密挖矿可以获得最大的回报。尽管此木马出现已有五年之久，但其运行原理并未发生改变，一直是利用漏洞或不正确的软件设置安装到系统。黑客在我们的诱饵服务器向系统cron调度程序添加了任务，每10分钟启动一个脚本来下载释放器Linux.MulDrop.142（或其变种Linux.MulDrop.143）。这个可执行文件会检查操作系统的内核版本，禁用SELinux安全模块后解压rootkit文件Linux.Rootkit.400、挖矿程序Linux.BtcMine.815和后门文件Linux.BackDoor.Pam.8/9、Linux.BackDoorSSH.425/426以及用于进行远程访问的木马Linux.BackDoor.RCTL.2。该释放器的一个显着特征是文件相当大，包含支持各种Linux版本的可执行文件。我们所观察到的是释放器主体中有大约60个文件，分别支持服务器经常使用的多个Debian和RedHatEnterpriseLinux版本.

安装后，rootkit会拦截系统调用，以便生成虚假信息来响应管理员输入的诊断指令。被拦截的函数包括CPU平均负载报告、多个端口的网络活动报告以及显示文件夹中的文件列表的函数。Rootkit还会检查所有已加载的内核模块，并阻止那些能够侦测其存在的模块运行。所有这些功能使其可以完全隐藏加密货币挖矿活动的包括计算、发送哈希值和接收任务在内的所有进程。

此次攻击还包括由释放器安装后门，目的是保存并向攻击者发送所有有关SSH授权的数据，以及系统所有帐户主密码数据。而且发送时所有密码均使用凯撒密码进行额外加密，偏移量为4个字母。

为进一步扩大对被黑系统的控制能力，攻击者还安装了RAT木马Linux.BackDoor.RCTL.2。利用这个木马可以向被感染的服务器发送命令，并使用由木马自行建立的加密连接从服务器接收所有类型的数据。

执行挖矿功能的是程序xmrig，可挖掘多种加密货币，其中最知名的是门罗币，由于其在交易时完全匿名，在暗网极受欢迎。发现服务器集群中有被rootkit隐藏的挖矿软件是一项相当不简单的事情，在缺乏有关资源消耗的可靠信息情况下，唯一可以猜测到被入侵的只是异乎寻常的电能消耗和热量释出。攻击者还能更改矿工设置，在挖矿性能和维持设备运行速度之间提供最佳平衡，从而进一步降低秘密挖矿被发现的可能性。

Skidmap恶意软件家族的演变体现在攻击模式的复杂化：启动的程序相互调用、禁用保护系统、干扰大量系统工具和服务的运行、下载rootkit等，这些都使对此类事件的应对工作变得异常复杂。

所有此次侦测到的威胁均已添加到Dr.Web病毒库，不会对我公司产品的用户构成威胁。

失陷指标

Linux.MulDrop.142更多详情

Linux.MulDrop.143更多详情

Linux.MulDrop.144更多详情

Linux.Rootkit.400更多详情