过去挖矿软件XMRig主要以ARM-based服务器为目标,但安全研究人员发现,它现在也开始感染Intel X86及I686-based服务器,显示企业也成为挖矿软件的新目标。
Akamai安全研究人员Larry Cashdollar在7月搜集到的650只IoT恶意程序样本中,其中一个看似.gzip压缩文件,等待不知情的用户打开后感染系统。这个文件包含二进制档、脚本程序和函数库,其中一个脚本程序可检查受害系统是否之前有感染过XMrig,另一个脚本程序可将旧版软件砍掉再安装最新版的XMrig v2.14.1,并在crontab文件中加入自己,以便未来受害者重开机后仍然能执行。
值得注意的是,第一个脚本程序执行时也创建三个不同目录,分别包括x86 32bit或64bit格式的XMrig v2.14.1版本,有些二进制档也会以普通的Unix公用程序命名如ps伪装,以便混入正常的程序表(process list)中。等最新版XMrig安装于英特尔系统后,便与其他挖矿程序一样,和外部C&C服务器通过port 22创建SSH连接以获取指令。
而这也是继ARM及MIPS架构服务器之后,安全界发现黑客开始染指Intel CPU的服务器。研究人员警告,网络歹徒仍会持续设法从未设防的系统上挖矿敛财,因此他提醒系统管理员尽早修补漏洞、关闭不安全的服务,并采用强密码、双重验证及适当的弱点补救方案,以减少沦为挖矿区的机会。