XMRig的运行还需要一个名叫‘config.json’的配置文件,以及相应的算法(CryptoNight/CryptoNight-Lite)、最大CPU使用率、矿池服务器和登录凭证(门罗币钱包及访问密码)等等。攻击样本已经将所有需要的参数和配置嵌入在Payload代码中了:
根据我们对五个样本的分析结果,恶意软件只使用了两个唯一的登录用户名,并用这两个用户名匹配到了门罗币钱包以及矿池信息。
到2018年3月21号为止,攻击者已经挖到了大约价值74677美元的门罗币(根据我们所发现的两个加密货币钱包),而这只是整个恶意活动的冰山一角。下图显示的是样本中的门罗币钱包信息:
1. 运行Linux(x86-64)的Web服务器;
2. Web服务器需要可公开访问;
3. 安装了Cacti(开源的基于Web的可视化网络监控工具)并且启用了已过期的Network Weathermap(v0.97a及其之前版本)插件;
4. Web服务器不需要进行身份验证即可访问Web网站资源;
5. 为了保证Payload可以正确执行,Web服务器需要以root权限运行;
因此,需要使用Cacti的网络管理员应该尽快更新自己的工具以及相关插件版本。