自去年7月被发现的僵尸网路P2PInfect,主要的攻击目标是分散式资料库Redis伺服器,并运用其运算资源挖矿,但最近研究人员发现,有骇客在这款僵尸网路病毒纳入勒索软体功能,而有可能对目标伺服器进行档案挟持。
除了上述的勒索软体模组,研究人员指出与过往的版本相比,这个僵尸网路病毒也在其他层面出现大幅度的变化。首先,他们发现对方重新利用Rust非同步框架Tokio打造,并透过UPX加壳处理,而且,主要执行档被剥离,且有部分程式码经过混淆处理,这样的做法使得静态分析难以识别这款恶意程式。
另一方面,此僵尸网路病毒具备新的使用者模式Rootkit元件,使得该病毒能够借由挟持合法的处理程序,埋藏恶意处理程序及相关档案。
再者,则是攻击者可能采用障眼法,因为他们起初看到对方在P2Pinfect嵌入名为miner的执行档,但这项元件实际上未曾被使用。后来研究人员在P2Pinfect主程式运作约5分钟后,才看到挖矿程式启动。
究竟对方赚了多少钱?研究人员看到骇客赚得71个门罗币(XMR),相当于9,660英镑(约新台币39.7万元),对方的矿池却显示仅有1台机器执行挖矿,每个月约能产生15英镑,对比P2Pinfect僵尸网路的规模,这种现象极为不合理,他们推测,骇客另有实际在挖矿的矿池。