新種無檔案惡意軟體 PyLoose，藏身記憶體內挖掘加密貨幣且難以偵測

資安廠商 Wiz 旗下的資安專家，近日發現一個全新的 Linux 惡意軟體 PyLoose；該惡意軟體衍生自常見的開源加密貨幣挖掘惡意軟體 XMRig，其特色是會藏在受害電腦的記憶體中挖掘加密貨幣，難以透過資安防護工具加以偵測。

據 Wiz 的資安專家指出，這個名為 PyLoose 的惡意軟體是個相對簡單的 Python 指令檔，附有一個預先編譯過的 base64 編碼 XMRig 挖礦程式；XMRig 經常出現在各種以挖掘 Monero 加密貨幣為主的惡意軟體中，會竊取以雲端主機為主的受害電腦 CPU 運算資源來為駭侵者挖掘加密貨幣，獲取不法利潤。

專家說，PyLoose 的特色是不需要在受害主機的磁碟系統中寫入任何檔案，所以各種以檔案數位簽章和惡意軟體特徵碼掃瞄來偵測惡意軟體檔案存在的資安防護工具，就難以偵測出 PyLoose 的存在。

根據 Wiz 的資安專家觀測指出，PyLoose 是資安史上首個以 Python 編寫的無檔案資安攻擊方式，該公司自 2023 年 6 月 23 日起觀測到 PyLoose 的大規模攻擊行動，至今已確認至少 200 個攻擊案例。

Wiz 在報告中指出，駭侵者會先利用一個類似 Pastebin 的網站「Paste.c-net.org」，以 HTTPS GET 要求來取得無檔案的 PyLoose 酬載，然後直接將 PyLoose 載入 Python 的 runtime 記憶體中執行。

Wiz 也在報告中指出，目前尚無法得知利用 PyLoose 來發動攻擊的駭侵者具體身分，且因這個駭侵者採用的手法相當新穎且十分成熟，目前很難研判駭侵者到底是誰。

建議雲端主機的管理者應避免讓主機與服務直接曝露於外網，且應確實做好登入權限防護，包括強式密碼與多重登入驗證；同時對系統指令的執行設定限制。

本文轉載自TWCERT/CC。