你知道吗?最近加密货币挖矿圈里可是风波不断,不少矿工的电脑都像被下了魔咒,挖矿速度慢不说,还时不时地闹出些小插曲。今天,就让我带你一探究竟,看看这些“受感染”的加密货币挖矿机器背后都藏着哪些秘密。
一、病毒来袭,挖矿机器“中招”
话说这加密货币挖矿,原本是个技术活,可最近,不少矿工发现,他们的电脑挖矿速度越来越慢,甚至有时候还会突然断电。这可把矿工们急坏了,一查之下,才发现原来他们的电脑“中招”了。
据网络安全研究团队ANY.RUN的分析,这起攻击活动利用了一种名为Diamorphine rootkit的恶意软件。这个rootkit就像一个隐藏在电脑里的“间谍”,悄无声息地窃取了矿工的SSH密钥,然后利用这些密钥在网络上四处游荡,寻找其他目标。
二、多阶段渗透,层层递进
这个攻击活动可不是简单的病毒入侵,而是一个精心策划的多阶段渗透。首先,攻击者会伪装成一个Python文件,诱使矿工下载并运行一个分支脚本。这个脚本会部署Diamorphine rootkit,这是一个可加载内核模块(LKM),支持从2.6.x到6.x版本的Linux内核,兼容x86、x8664和ARM64架构。
rootkit通过劫持系统调用来隐藏自身活动,同时执行精心设计的攻击步骤。它首先会安装所需依赖项并终止竞争进程(如其他加密货币挖矿程序)以最大化资源利用率。它会从互联网下载三个恶意负载:伪装成python-3.7.3.so的挖矿程序、挖矿负载cloud以及Diamorphine rootkit压缩包python37.tar。
为了确保持久化,攻击脚本替换了/bin/ps工具以隐藏进程,并创建systemd服务使挖矿程序能在系统重启后自动运行。Diamorphine rootkit随后被加载到内核中,通过操纵系统调用进一步隐藏挖矿活动。
三、SSH密钥被盗,横向移动无孔不入
更可怕的是,攻击者还通过窃取受害主机的SSH密钥实现横向移动,利用这些密钥渗透网络中的其他系统。这样一来,攻击者就可以在多个矿工的电脑上部署恶意软件,进一步扩大攻击范围。
而为了清除系统日志以阻碍取证分析,攻击脚本几乎不留活动痕迹。这种隐蔽的多阶段攻击链,让矿工们防不胜防。
四、开源工具武器化,地下经济暗流涌动
值得一提的是,Diamorphine rootkit和挖矿程序均基于GitHub托管的开源代码构建。这个平台正日益成为恶意攻击者的资源库。这个由用户\m0nad\最初开发的项目被武器化的事实,表明易获取的工具如何被恶意改造。
攻击者通过窃取SSH密钥实现横向移动,其终止其他挖矿程序的行为也揭示了地下经济中攻击者对感染主机的争夺现状。
五、安哥拉政府严打非法挖矿,矿工们需提高警惕
其实,加密货币挖矿并非全然是坏事,但非法挖矿活动却给许多国家带来了困扰。比如,安哥拉政府就对此类活动进行了严厉打击。
据报道,安哥拉警方在万博市法蒂玛城区查获了一批加密货币非法挖矿设备,共计284台。这些设备被巧妙地隐藏在法蒂玛城区第50街一户人家的食品储藏室中。在此次行动中,两名外国公民被犯罪调查局(SIC)逮捕并进行审讯,而其他涉案人员目前仍然在逃。
此外,安哥拉共和国宪报刊载了第3/24号关于禁止加密货币和其他虚拟资产挖矿活动的法律,立刻生效。该法律规定,开采加密货币为犯罪行为,持有用于虚拟货币挖矿活动的信息、通信和基础设施设备将被判以1至5年监禁并没收有关设备。
所以,矿工们可得提高警惕了,别让这些“受感染”的挖矿机器成为你的“噩梦”。