Juniper旗下安全研究单位近日发现一只兼具蠕虫及挖矿能力的僵尸网络程序,借由开采Mongo、Drupal、Saltstack等软件的远程程序代码执行(RCE)漏洞,以感染Windows及Linux机器挖矿。
Juniper的ThreatLab实验室去年12月间首先发现名为Sysrv的僵尸网络病毒,它在Windows设备上安装sysrv.exe而得名。经过一阵子沉寂,最近又开始活动,无论开采的漏洞、使用的挖矿程序都更扩张。
根据Juniper分析,Sysrv利用软件漏洞自我复制传播到未修补漏洞的系统,再下载一个恶意程序。研究人员侦测到Sysrv目前积极开采6种软件漏洞,包括Mongo Express的RCE (CVE-2019-10758)、Linux服务器管理平台Saltstack RCE (CVE-2020-16846)、XXL-JOB的Unauth RCE、开发框架ThinkPHP RCE、XML-RPC (CVE-2017-11610)及建站软件Drupal Ajax的RCE漏洞(CVE-2018-7600)。
Sysrv利用上述软件漏洞,自我复制到一组随机公开IP以感染联网计算机。之后它在受害系统下载一个loader script,再从外部IP下载二进制文件,为一个64-bit Go程序,内有开原码UPX(Ultimate Packer for eXecutives,可执行文件加壳器),其中内置一个蠕虫程序及挖矿程序,前者负责感染传播,后者则利用这些受感染系统来挖Monero(门罗)币。
分析这个二进制档,研究人员发现,Sysrv其实不只感染6个漏洞,事实上曾经感染10多个软件漏洞,包括Jenkis、Juypter Notebook Server、Tomcat Manager、WordPress、Oracle WebLogic、Lavavel、Atlassian Confluence Server、JBoss Application Server、Apahce Solr、Apache Hodoop等都曾被盯上。
图片来源/Juniper
研究人员也发现它使用了Monero 4个主要矿池中的3个,集结了将近50%的网络算力。研究人员计算,Sysrv从3月1日起一整个月已挖了18个Monero(XMR)币,约3,700美元。
虽然产出的金钱收益不多,但Ars Technica指出,这只僵尸网络程序对用户的威胁不只是窃取受害设备的计算资源和增加耗电而已,也能植入勒索软件以及其他恶意程序。