对设备的攻击发生在地球的每个角落。

安全公司Akamai在一份 新报告中表示 ，在过去的一年里，以前未知的自我修复恶意软件已经危害了世界各地的 Linux设备，安装了加密货币挖掘程序，以不寻常的方式隐藏其工作。

该蠕虫是Mirai僵尸网络 的修改版本，该恶意软件会感染基于 Linux 的服务器、路由器、网络摄像头和其他物联网 ( IoT ) 设备。Mirai于2016年首次出现，被用来进行大规模DDoS攻击。与 Mirai 的目标是 DDoS 攻击不同，这种名为 NoaBot 的新蠕虫安装了加密挖矿程序，允许攻击者使用受感染设备的资源来挖掘加密货币。

据 Akamai 专家称，NoaBot 展示了隐藏其行为的非凡能力。恶意软件使用非标准库和加密方法使恶意软件难以检测和分析。

以下是新蠕虫病毒的特点：

与通过 Telnet 攻击设备的标准 Mirai 不同，新蠕虫利用SSH连接中的漏洞；
NoaBot使用弱SSH密码进行传播，而不是像Mirai那样Telnet；
该蠕虫没有执行 DDoS 攻击，而是安装了XMRig 加密货币挖矿程序的修改版本；
将矿工连接到矿池的配置以加密形式存储，并在启动XMRig之前立即解密，这使得跟踪攻击者钱包地址变得困难；
该蠕虫很可能使用私人矿池进行挖矿。
NoaBot 使用非标准库和字符串混淆来掩盖其活动，这使得防病毒软件难以检测和分析代码。

尽管 NoaBot 很简单，但它展示了隐藏其活动并使其难以分析的复杂技术。Akamai 跟踪该蠕虫的活动长达一年，记录了来自全球 849 个不同 IP 地址的攻击，几乎所有设备都可能已被感染。

NoaBot攻击来源的地理分布

该公司发布了详细的妥协指标（Indicator of Compromise，IoC），可用于检查设备是否受到感染。目前尚不清楚该蠕虫病毒的传播范围有多大，但其非常规的传播方式引起了研究人员的担忧。

Akamai 指出，限制对网络的随机 SSH 访问可以显着降低感染风险。此外，使用强（非标准或随机生成）密码也可以提高安全性，因为恶意软件使用可猜测密码的基本列表。专家已 在 GitHub 存储库中发布了 NoaBot 使用的凭证集 。

乍一看，NoaBot 并不是一个非常复杂的活动。这是 Mirai 和 XMRig 加密货币挖矿程序的变种 – 现在有大量此类恶意软件。然而，混淆和源代码增强技术描绘了攻击者能力的完全不同的画面。

文章原文链接:https://www.anquanke.com/post/id/292618