【耐人尋味】專攻雲端Linux挖礦軟件竟幫受害者除毒?
一款專門針對 Linux 作業系統的挖礦軟件 (crypto-mining) 被發現有新變種,去年背後的黑客只針對 Docker 容器 (container),但來到 2021 年就專攻雲端服務例如華為雲。最有趣的是在執行入侵流程時,挖礦軟件會先為目標設備剷除已安裝同行的挖礦軟件,而且還用上其他加密方法保護自己,令其他黑客無法將它剷除。
今次的變種挖礦軟件由網絡安全服務供應商 TrendMicro 的專家發現,指出新的挖礦軟件不單保留了以往的功能,更加入新的功能保護自己可以永續存在。專家解釋整個攻擊流程,當變種挖礦軟件準備落腳雲端服務上的虛擬機時,首先會為系統進行掃描,檢查是否有其他挖礦軟件的存在。如有發現,便會視乎屬於哪一款病毒,決定清洗程序,將虛擬機還原成一部「乾淨」的機器,以便變種挖礦軟件啟動安裝程序。前期準備功夫還包括挖礦軟件會自行銷毁入侵痕跡,增加被發現的難度,然後才開始逐步引入惡意負載 (payload),完成整個入侵流程。
既然變種挖礦軟件有能力剷除異己,背後的黑客自然有備而來。專家指出挖礦軟件採用了自家的 ssh-RSA 加密金鑰對系統進行修改及將檔案存取權限鎖死,因此即使有其他惡意軟件入侵,也無法將它移除,同時亦無法取得所有控制權限。黑客又利用洋蔥網絡 (Tor) proxy 服務,去保護挖礦軟件及 C&C 控制中心之間的數據傳輸溝通,同樣有效提升被網絡安全工具發現的風險。
不過,TrendMicro 專家認為變種挖礦軟件未算太難阻截,因為它主要利用一些已知漏洞發動入侵,當中包括 Oracle WebLogic Server product、PostgreSQL 弱密碼及違法登入漏洞、FTP 傳輸協議漏洞等等。由於變種挖礦軟件主要針對雲端服務供應商,當中包括聲稱有三百萬用家的華為雲 (Huawei Cloud),因此專家已先後通知服務供應商,但華為雲至今仍未有任何回覆。華為雲客戶現階段唯有盡快堵基已知漏洞,才能減少被入侵風險。