新發現利用 SHC 編譯的 Linux 惡意軟體,會安裝挖礦與 DDoS 程式
- 發布單位:TWCERT/CC
- 更新日期:2023-01-09
- 點閱次數:7565
南韓資安廠商 ASEC 旗下的資安專家,發現近來有許多駭侵攻擊活動,利用以 SHC(Shell Script Compiler)編譯的惡意軟體,在遭到入侵的 Linux 主機上安裝挖礦工具與 DDoS 僵屍網路。目前被害主機以南韓境內的伺服器為主。
SHC 是一種 Linux 上的通用 shell 指令檔編譯器,可以將 Bash 的 shell script 編譯成 Linux 與 UNIX 系統的 ELF 可執行檔。
報告指出,駭侵者通常先以暴力試誤法,入侵管理者帳號未受適當保護的 Linux 主機後,再利用經由 SHC 編譯過的惡意軟體來布署挖礦軟體或 DDoS 僵屍網路節點。
專家表示,通常以 Shell script 指令碼編寫的惡意軟體,由於內含許多以明文儲存的關鍵系統指令,因此很容易被系統上安裝的防毒防駭軟體截獲;但由於以 SHC 編譯過的 Shell script 會以 RC4 演算法編碼成 ELF 檔,因此不易偵測,駭侵者可用以逃過資安防護關卡。
ASEC 在報告中指出,在這波攻擊中觀察到 SHC 惡意軟體會在成功入侵後,於系統中安裝多種惡意軟體酬載,例如用以挖掘 Monero 加密貨幣的 XMRig 挖礦軟體,以及以 Perl 寫作的 DDoS IRC 僵屍機器人程式。
報告指出,一旦該 IRC 僵屍惡意軟體安裝成功,就會連上某台 IRC 伺服器,等待駭侵者透過聊天頻道發送多種 DDoS 相關攻擊指令並加以執行,包括各種通訊協定如 TCP、 UDP、HTTP 洪水攻擊、連接埠掃瞄等。
鑑於此類攻擊通常選擇管理者帳號防護薄弱的主機為目標,因此務必變更主機的預設管理員帳號與密碼,同時採用二階段登入驗證;較敏感的主機更需以防火牆隔離於外部 Internet。