F5 Labs的一份报告描述了一个新的加密活动,该活动针对Linux系统

新的加密活动的运营商对其竞争对手采取激进行动,并停止其声称的机器上的其他加密活动。

网络犯罪分子可以快速利用他们手中的任何概念验证(PoC)漏洞利用代码。对于最近披露的Apache Struts漏洞(CVE-2018-11776),有多个可用的PoC,因此在外界利用的漏洞的消息并不令人意外。

Cryptomining现在风靡一时,Struts漏洞已被多个黑客迅速采用。

随着受害者CPU周期的竞争越来越激烈,一名黑客决定强行挑战对手。

取消比赛

F5 Labs的一份报告描述了一个新的加密活动,该活动针对Linux系统,并识别机器上其他加密器的进程,目的是终止它们。

研究人员将此活动命名为CroniX,这是一个绰号,它源于恶意软件使用Cron实现持久性,而Xhide则使用虚假进程名称启动可执行文件。

在受害者计算机上铸造的加密货币是Monero(XMR),这是加密劫持活动的首选币。

为了确保竞争对手的活动不会恢复,CroniX会删除系统中存在的其他密码系统的二进制文件。

CroniX在机器上建立优势的另一个动作是检查进程的名称并杀死那些吞下60%或更多CPU的进程。

“这可能是为了避免杀死合法进程,因为这些矿工的名字(crond,sshd和syslogs)通常与Linux系统上的合法程序有关,”F5 推测

利用CVE-2018-11776可以注入可能包含恶意代码的对象图导航语言(OGNL)表达式,例如用于Monero的Coinhive JavaScript挖掘器。使用CroniX,注入点位于URL中。

“攻击者在注入OGNL表达式时发送单个HTTP请求,该表达式一旦评估,就执行shell命令下载并执行恶意文件,”该报告解释说。

虽然F5 Labs观察到此活动针对使用Apache Struts的Linux系统,但研究人员发现了一项针对Windows机器的操作目前正在进行中的证据。

CroniX只是利用CVE-2018-11776漏洞的最新加密活动。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/cronix-cryptominer-kills-rivals-to-reign-supreme/

扫码关注云+社区

领取腾讯云代金券