请联系源头。继电脑和手机之后,挖矿病毒也开始针对物联网设备。无论是智能冰箱、彩电还是洗衣机,任何具有一点计算能力(物联网和端到端)的设备都可能被这种病毒感染并被用来挖掘加密货币。一个例子是Shikitega,它是AT&TAlienLabs新发现的一种Linux恶意软件。与之前的一些物联网设备相比,Shikitega更加隐蔽,总共只有376字节,其中代码占了300字节。那么,这种新的恶意软件究竟是如何感染设备的呢?利用加壳技术“隐身”具体来说,Shikitega的核心是一个小型ELF文件(Linux系统可执行文件格式)。为该ELF文件添加动态shell,避免被某些安全防护软件扫描查杀。加壳是指在可执行文件中使用特殊算法对资源进行压缩,但压缩后的文件可以独立运行,并且解压过程完全隐藏,全部在内存中完成。动态shell是一种更强大的脱壳手段。从整个过程来看,Shikitega将对端侧和物联网设备实施多阶段感染,控制系统并执行其他恶意活动,包括加密货币挖矿(这里Shikitega的目标是Monero):通过最具可利用性的框架Metasploit。流行的编码器ShikataGaNai(SGN),Shikitega运行多个解码循环,每个循环解码下一层。最终,Shikitega中的有效载荷(恶意软件的核心部分,例如执行恶意操作、删除数据、发送垃圾邮件等的蠕虫或病毒的代码)被完全解码并执行。该恶意软件利用了两个Linux漏洞,CVE-2021-4034和CVE-2021-3493。虽然目前有补丁,但如果物联网设备上的旧Linux系统没有更新,就有可能被感染。事实上,像Shikitega这样感染物联网设备的恶意软件已经很常见了。例如,今年3月,AT&TAlienLabs也发现了BotenaGo,这是一种用Go编写的恶意软件,用于创建运行在各种设备上的僵尸网络(Botnets)。对此,不少网友纷纷吐槽,物联网设备的安全性堪忧:有网友认为,物联网设备应与WiFi隔离,否则会给病毒“可乘之机”:除了物联网设备,更多人关注的是放它对Linux系统的安全性。Linux恶意软件激增650%在过去几年中,Linux恶意软件的种类和数量都在增加。根据AV-ATLAS团队提供的数据,2022年上半年新增Linux恶意软件数量创历史新高,已发现近170万个。与去年同期(226,324个恶意软件)相比,新的Linux恶意软件数量激增近650%。除了Shikitega,最近发现的流行Linux恶意软件也变得更加多样化,已知包括BPFDoor、Symbiote、Syslogk、OrBit和LightningFramework等。△图源AV-ATLAS有网友对此提出质疑。因为Linux是开源的,看来无论如何都要面对病毒和恶意软件的泛滥?有网友回应称,一方面,虽然旧的Linux系统可能漏洞百出,成为病毒的“温床”,但升级打补丁后会好起来的。另一方面,开发恶意软件本身并不是一件“动手”的事情。毕竟,安全研究人员会不断修复和堵上所有的漏洞,而恶意软件开发者必须找到漏洞,开发恶意软件,让它们“流行”起来,然后才能修复它们,最终达到目的。如果家里还有使用旧Linux系统的设备,要注意及时升级或采取网络隔离等安全措施。
