安全厂商Palo Alto本周披露一只名为Watchdog的挖矿程序,锁定并劫持Windows及类UNIX系统挖矿至少2年,是已知规模最大、时间最长的Monero挖矿劫持攻击。
Palo Alto旗下的Unit42安全实验指出,WatchDog名称是从Linux精灵程序watchdogd而来。它至少从2019年1月就开始感染服务器,并暗中从事门罗币(Monero)的挖矿。
控制WatchDog的黑客利用33种不同的开采工具,来黑入目标系统的32项软件漏洞。他们的目标软件包括Drupal、Elasticsearch、Apache Hadoop、Redis、SQLServer、ThinkPHP及Oracle WebLogic。研究人员估计WatchDog由3种Go语言写成的二进制程序,及一个bash或PowerShell script档组成。这些二进制程序,一个模拟Linux watchdogd精灵确保挖矿过程不会无预期中断或终止,一个下载之前扫描找到的一组Windows或NIX目标系统的IP地址清单,以便对这些机器执行开采指令,另一个则利用bash或PowerShell script,对这些系统启动挖矿。使用Go二进制程序让WatchDog可在不同OS上(Windows或NIX)执行,只要目标系统安装Go平台。
Unit42小组研究人员找到WatchDog部署的僵尸网络架构,识别出18个根IP终端及7台恶意域名,可支持至少125个可下载工具到受害系统的URL。
研究人员判断,WatchDog控制的机器大约在500到1000台之间,其中以Windows及类UNIX云计算执行实例为主,平均至少控制476台系统保持运行,产出的算力达1,037KH/s,两年来这只程序至少挖了209个Monero(XMR),价格约32,056美元。
这并非Palo Alto第一次发现会自主感染的挖矿程序。2019年他们也曾发现名为Graboid的挖矿蠕虫,劫持超过2,000台Docker Hub主机用于挖掘Monero加密货币。Graboid在被发现并移除前曾潜伏了3个月。
但是WatchDog似乎更高明。它不需要第三方服务器来下载恶意酬载,这使得它得以持续挖矿活动,时间超过2年。
研究人员认为运行WatchDog的黑客经验老道,虽然目前尚未看到它已黑入云计算系统,像是窃取云计算平台的身份及访问管理(IAM)系统的登录权限、访问ID或密钥,但相当有可能日后黑入云计算账号。这群人极可能在植入挖矿软件时取得根账号或管理员访问权限,进而取得了云计算系统的IAM相关信息。
研究人员建议系统管理员应确保系统软件在新版本,以免自家系统成了黑客的挖矿机器。