国家计算机病毒应急处理中心通过对互联网的监测,发现Skidmap恶意软件最新的攻击活动。Skidmap是具有Rootkit功能的Linux操作系统下的挖矿程序,其通过加载恶意内核模块以保持挖矿操作不被发现,这些内核模块的Rootkit程序难以检测,攻击者还可以获得系统的访问权限以实现更多的恶意操作。
在攻击中,Skidmap恶意软件通过Linux下的计划任务crontab命令进行主程序的下载和安装,在安装过程中,会修改目标系统的安全设置,降低安全属性,以便顺利完成自身的安装。其通过两种方式获得系统的访问权限:一是在系统的authorizde_keys文件中写入密钥,系统认证通过后即可访问目标主机;二是替换系统的pam_unix.so文件,该文件用于系统认证的过程,该文件被替换后,攻击者可以用指定的密码进行登录。Skidmap的主程序运行后,会检测感染的系统是否为Debian或者RHEL/CentOS:若目标系统是Debian,则会在指定目录下释放挖矿程序;若目标系统是RHEL/CentOS,会从远程服务器下载含有挖矿和其他多种功能组件的压缩包,再进行解压缩和安装。除挖矿功能外,Skidmap还具有如下功能:一是替换系统程序,其通过建立计划任务来下载并替换系统的rm程序;二是在指定目录下安装名为“kaudited”的恶意程序,运行后会释放多个内核程序(LKM),还会释放监视程序来监视挖矿进程;三是挂钩系统调用,以便隐藏恶意程序;四是通过Rootkit伪造系统的网络流量统计和CPU使用率,这样可以迷惑用户,在挖矿程序运行时不会被察觉。
建议我国用户尤其是使用Linux系统的用户及时修补漏洞,不要随意运行来历不明的程序,做好网络安全防护措施,谨防类似的攻击活动。