Noll
Säkerhet forskare från Trend Micro har snubblat på en ny skadlig kod stam som gruvor cryptocurrency på Linux-datorer, men som också skiljer sig från tidigare sett cryptominers grund av att det hämtar ett rootkit för att ändra operativsystemets beteende och dölja oönskade hög CPU-användning som oftast kommer med cryptocurrency gruvdrift.
För närvarande, Trend Micro har inte identifierat det sätt genom vilket de malware –som de heter KORKERDS– infekterar system, men de tror inte att den senaste tidens våg av infektioner är resultatet av en påträngande massan-hacking-kampanj.
I stället, menar forskarna skurkar använder förgiftad Linux-program som har ändrats för att tyst ladda ner och installera KORKERDS cryptominers under installationen av en legitim applikation. Vilken app? Trend Micro har inte listat ut ännu.
Men forskaren sa att det KORKERDS prover de har nyligen analyserat skulle göra mer än att bara installera en Monero miner –också att ladda ner och installera ett rootkit, som de beskrev som “en något modifierad/omgjorda versionen av allmänt tillgängliga koden”.
Bild: Trend Micro
Förutom så KORKERDS att överleva OS startar, rootkit-komponent också koden en något märklig egenskap.
Trend Micro säger att KORKERDS’ författare modifierade rootkit för att dölja cryptominer den viktigaste processen från Linux native process verktyg för övervakning.
“Rootkit krokar readdir och readdir64 application programming interfaces (Api: er) från libc-bibliotek,” forskarna säger. “Rootkit kommer att åsidosätta den normala filen i biblioteket genom att ersätta den normala readdir fil med rootkit egen version av readdir.”
Denna skadliga version av readdir fungerar genom att dölja processer som heter “kworkerds” – vilket i detta fall är det cryptominers ” – process.
Linux process verktyg för övervakning fortfarande kommer att visa 100 procent CPU-användning, men admins kommer inte att kunna se (och döda) kworkerds process som gör att CPU-resursanvändning problem.
Linux process för övervakning verktyg som visar 100% av CPU-användning, men kworkerds process som ansvarar för detta problem
Bild: Trend Micro
Trend Micro är KORKERDS rapport innehåller en teknisk uppdelning av malware infektion är rutin, inklusive filnamn, processer och filhash att Linux-användare kan vara intresserad av att spåra och hjälp för felsökning möjligen-infekterade system.
Baserat på det faktum att KORKERDS är fördelad inuti legitima appar, detta antyds också skadlig kod kan också vara ett hot mot Linux-desktop-användare, och inte bara till servrar, där nästan alla Linux cryptominers har observerats under de senaste två åren.
Linux-användare var inte de enda som har letts av lömska cryptocurrency-utvinning av skadlig kod. Trend Micro publicerade även en andra rapport i går på en annan malware stam som riktade sig till Windows-användare och som också används olika tekniker i ett försök av bo hidden så mycket som möjligt på infekterade system.
Relaterade täckning:
Microsoft arbetar på att anpassa Sysinternals till LinuxAdobe ColdFusion servrar under attack från APT-gruppen
Två botnät är kampen över kontrollen av tusentals utan säkerhet Android-enheter medLinux Uppförandekod för länge sedan TechRepublic
En snällare, lugnare och Linus Torvalds och Linux 4.20Ny säkerhetsbrist påverkan de flesta Linux-och BSD-distributionerNintendo Byta förvandlas till Linux tablett av hackare CNET
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0