AT＆T的网络安全分支打破了加密矿工对电子邮件服务器的威胁

AT＆T的Alien Labs正在通过monero矿工如何渗透网络的新技术细分，致力于加密矿恶意软件分析。

安全研究员FernandoDomínguez于周四发布的报告，逐步介绍了一个低调的密码劫持者如何感染并在易受攻击的Exim，Confluence和WebLogic服务器之间传播，并安装了通过代理挖掘Monero的恶意代码。据ZDNet称，Exim服务器占所有电子邮件服务器的一半以上。

该蠕虫首先使用BASH脚本注入目标服务器，该脚本会检查并杀死竞争的挖掘过程，然后再尝试渗透到网络中的其他已知计算机。当加密矿工感染系统时，他们通常会杀死它们。并且有一个很简单的原因：根据该报告，不同进程占用的CPU越多，剩下的CPU越少。

遭到破坏的服务器随后下载脚本的有效负载：基于名为XMRig的开源monero矿工的“煎蛋”（即下载的可执行文件变量的称呼）。

XMRig可在GitHub上获得，它是恶意软件黑客的最爱，也是加密劫持者的武器库中的常见构件。它已被改装到MacBook矿工中，分布在500,000台计算机上，并且在2017年如此流行，以至于恶意挖矿报告激增了400％以上。

根据AT＆T Alien Labs的说法，这家经过改良的矿工通过代理开展业务。这使得在没有代理服务器访问的情况下几乎不可能追踪资金，甚至辨别钱包地址。

煎这种煎蛋很难。下载时，还将下载另一个与原始BASH脚本相同的名为“芝麻”的文件。这是蠕虫持久性的关键：它以五分钟的间隔挂接到cron作业上，使其能够抵御杀戮尝试和系统关闭。它甚至可以自动更新为新版本。

AT＆T Alien Labs于2019年6月开始跟踪该蠕虫。此前，云安全分析公司Lacework已于7月对其进行了研究。

研究人员还不太清楚这个未命名的Monero矿工的分布情况。 Alien Labs的报告承认“很难估算此活动向威胁演员报告了多少收入”，但指出该活动“不是很大”。

尽管如此，它还是提醒所有服务器操作员：始终对自己的软件进行修补并保持最新状态。

—-

原文链接：https://www.coindesk.com/atts-cybersecurity-branch-breaks-down-crypto-miner-threat-to-email-servers

原文作者：Danny Nelson

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。