Skidmap malware verstopt in de kernel te verbergen illegale mijnbouw cryptocurrency

0
130

Een scanner app met 100 miljoen downloads begint te leveren malware
Een Android Google play-app, beschikbaar sinds 2010, is onlangs gestart met het installeren van malware.

Een vorm van malware struikelde over de door de onderzoekers maakt gebruik van rootkits te begraven zich onopgemerkt in Linux systemen voor het doel van cryptocurrency mijnbouw.

Op maandag, bedreiging analisten Augusto Remillano en Jakub Urbanec van Trend Micro, zei de Linux-malware, genaamd Skidmap, is geladen worden met de kernel-modus rootkits ontworpen om te verdoezelen haar aanwezigheid op een geïnfecteerd systeem, evenals voor aanvallers met onbeperkte toegang tot de machine middelen.

Zodra een kwetsbare Linux systeem is ingekocht, Skidmap installeert zich via crontab, een op tijd gebaseerde job scheduler.

Een installatie script zal het downloaden van de belangrijkste Trojan lading, die zal gaan draaien Security-Enhanced Linux (SELinux) modules in een ‘permissive’ staat aan het verminderen van de totale niveau van beveiliging van een machine.

Zie ook: de AMERIKAANSE regering vraagt gegevens op duizenden gun toepassingsgebied app-gebruikers

“Als het systeem het /etc/selinux/config bestand, zal het schrijven van deze opdrachten in het bestand: SELINUX=disabled en SELINUXTYPE=targeted commando’ s,” Trend Micro zegt. “De voormalige schakelt de SELinux tactiek (of verbiedt een te laden), terwijl de laatste sets geselecteerde processen draaien in beperkte domeinen.”

Een backdoor wordt gemaakt door het toevoegen van de exploitant van de openbare sleutel van de authorized_keys bestand op een Linux systeem.

Een andere module die wordt gebruikt voor Unix-verificatie is vervangen met een kwaadaardige versie die toestaat dat een specifieke, ‘master’ – wachtwoord in om geaccepteerd te worden voor elke gebruiker die geregistreerd is bij de gecompromitteerde machine. Aanvallers zijn dan in staat om zich de vermommen als een gebruiker — met elk niveau van het privilege, — die zij kiezen.

De cryptocurrency mijnbouw onderdeel van Skidmap zal dalen als stand-alone software of als een versleuteld .tar.gz bestand afhankelijk van de vraag of het doel van de machine is Debian of RHEL/CentOS.

CNET: De pivot op privacy zou kunnen komen met een $100 miljoen subsidie

Een van de meest interessante features van deze malware is dat het hanteren van de kernel. Veel van Skidmap routines vragen voor root-toegang, en dus kernel-modus worden rootkits gebruikt om de toegang vereist, alsmede om ervoor te zorgen infecties en mijnbouw activiteiten zijn moeilijker op te sporen.

Een bestand geïnstalleerd als /usr/bin/kaudited zal dalen en installeren loadable kernel modules (LKMs), en verschillende modules worden gebruikt, afhankelijk van de kernel ervoor zorgen dat een geïnfecteerde machine niet vastloopt wanneer geknoeid.

In het bijzonder, een rootkit nep-netwerk verkeer en CPU-gerelateerde statistieken te maken lijken dat de machine schoon. Dit zal onder meer de oprichting van sham verkeer waarbij vooral poorten, IP-adressen, CPU-belasting en processen.

TechRepublic: Bedrijven nog steeds niet voorbereid voor de GDPR wijzigingen van de regels en de mogelijke EU-datalekken

Een CPU met een zware belasting is een bekende indicator van cryptocurrency mijnbouw als de macht gebruikt om het werk van de wiskundige puzzels op moet stellen voor digitale munten is over het algemeen hoog. In Skidmap het geval van verkeersinformatie is vervalst om CPU-gebruik altijd te laag.

Daarnaast is de malware is uitgerust met modules te volgen, cryptocurrency mijnbouw processen, verbergen van specifieke bestanden, en het opzetten van schadelijke cron jobs voor het uitvoeren van andere schadelijke bestanden.

Het gebruik van rootkits is een interessante ontwikkeling in de wereld van Linux-gebaseerde cryptocurrency mijnbouw. Een ander recent ontdekte Trojan monster, genaamd InnfiRAT, bleek te bevatten functionaliteit die specifiek is ontworpen voor de diefstal van cryptocurrency-gerelateerde portemonnee referenties op geïnfecteerde machines.

Vorige en aanverwante dekking

Drones aanvallen Saoedi-Arabië de productie van olie en planten -, slice-output in de helft
De israëlische politie directie van de leverancier van de mobiele surveillance tech
Pen test gaat peervormige: cybersecurity kantoor personeel gearresteerd over gerechtsgebouw inbraak

Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters