Noll
Malware inriktning på Linux-användare kan inte vara lika utbredd som den stammar inriktning Windows ekosystem, men Linux malware blir lika komplexa och multi-funktionella som tiden går.
Det senaste exemplet på denna trend är en ny trojan som upptäckte denna månad av ryska antivirus tekokare Dr. Web. Denna nya malware stam inte har ett eget namn, men ändå, att bara spåras under sin generisk identifiering namn på Linux.BtcMine.174.
Men trots det generiska namnet, den trojanska är en lite mer komplicerad än de flesta Linux-malware, främst på grund av den uppsjö av skadliga funktioner den innehåller.
Trojanen i sig är en jätte shell-skript för över 1000 rader kod. Detta skript är den första filen exekveras på en infekterad Linux-system. Det första skriptet gör är att hitta en mapp på hårddisken som det inte har behörighet att skriva så att den kan kopiera sig själv och senare använda för att ladda ner andra moduler.
När trojan har ett fotfäste på systemet använder en av två eskalering utnyttjar CVE-2016-5195 (även känd som Dirty KO) och CVE-2013-2094 för att få root-behörighet och har full tillgång till OS.
Trojan så ställer sig upp som en lokal server, och även hämtar nohup verktyg för att uppnå denna operation om verktyget inte redan finns.
Efter det trojanska har ett fast grepp om den infekterade värden, det rör sig då om för att genomföra sin primära funktion som den var avsedd för, vilket är cryptocurrency gruvdrift. Den trojanska första skannar och avslutar processer av flera konkurrerande cryptocurrency-gruv-malware familjer, och sedan laddar ner och startar sin egen Monero-gruvdrift.
Det är också laddar ner och kör en annan malware, känd som Bill.Gates trojan, en känd DDoS-malware stam, men som också kommer med många backdoor-liknande funktioner.
Dock Kan Linux.BtcMine.174 är inte klar. Den trojanska kommer också att undersöka processen namn som förknippas med Linux-baserade antivirus lösningar, och döda deras utförande. Dr. Web forskare säger att de har sett den trojanska sluta antivirus processer som har namn som safedog, ledning, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.
Men även efter det att ställa upp sig som en demon, för att få root-behörighet via kända bedrifter, och installera Bill.Gates malware med sin bakdörr kapacitet, trojanska aktörer som fortfarande inte är nöjda med deras nivå av åtkomst till infekterade värdar.
Enligt Dr. Web, den trojanska också lägger sig som en autorun-post till filer som till exempel /etc/rc.lokala, /etc/rc.d/… /etc/cron.varje timme, och sedan laddar ner och kör ett rootkit.
Detta rootkit komponent har ännu mer påträngande funktioner, säger experter, såsom “förmågan att stjäla av användaren in lösenord för kommandot su och för att dölja filerna i filsystemet, nätverksanslutningar och processer som körs.”
Det är ganska imponerande lista av skadliga funktioner, men Linux.BtcMine.174 är fortfarande inte klar. Den trojanska kommer även att köra en funktion som samlar in information om alla fjärrservrar den infekterade värden som är ansluten via SSH och kommer att försöka att ansluta till dessa maskiner också, för att sprida sig till ännu fler system.
Detta SSH själv-att sprida mekanismen tros vara den trojanska viktigaste distributionskanal. Eftersom det trojanska också förlitar sig på att stjäla gäller SSH referenser, detta betyder att även om vissa Linux-systemadministratörer är noga med att skydda deras servrar’ SSH-anslutningar och bara tillåta ett antal utvalda värdar att ansluta, kanske de inte ges möjlighet att förhindra att en infektion om en av de utvalda värdar har smittats utan hans vetskap.
Dr. Web har laddat upp SHA1 filhash för trojan: s olika komponenter på GitHub, i vissa fall systemadministratörer vill skanna sina system för förekomsten av denna relativt nya hot. Mer om Dr. Web analys av Linux.BtcMine.174 här.
Mer trygghet:
Populära Mörka webbhotell leverantör fick hacka, 6,500 platser nerAWS rullar ut nya säkerhetsfunktion för att förhindra oavsiktlig S3 data läckorEmotet skadlig kod körs på en dual infrastrukturen och undvika driftstopp och nedtagningarTillgång till data för 70% av USA & EU webbplatser som säljs på den mörka webben TechRepublicMagecart grupp dråpligt saboterar konkurrentForskare att hitta stulna militära drönare hemligheter för försäljning på den mörka webben CNETAndra WordPress-hackande kampanjen pågårHackare använder Drupalgeddon 2 och Smutsig KO utnyttjar för att ta över webbservrar
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0