Nul
Malware die gericht is op Linux-gebruikers misschien niet zo wijdverbreid als de stammen die gericht zijn op de Windows-ecosysteem, maar Linux-malware is steeds net zo complex en multi-functionele als de tijd verstrijkt.
Het meest recente voorbeeld van deze trend is een nieuwe trojan ontdekt deze maand door de russische antivirus maker van Dr. Web. Deze nieuwe malware stam het niet hebben van een onderscheidende naam, maar wordt alleen bijgehouden onder de generieke detectie naam van Linux.BtcMine.174.
Maar ondanks de generieke naam van de trojan is een beetje complexer dan de meeste Linux-malware, vooral door de overvloed aan kwaadaardige functies bevat.
De trojan zelf is een gigantische shell script van meer dan 1000 regels code. Dit script is het eerste bestand uitgevoerd op een besmette Linux-systeem. Het eerste wat dit script doet is het vinden van een map op de schijf waarop het schrijfrechten heeft, zodat het kan zichzelf kopiëren en later te gebruiken om te downloaden andere modules.
Zodra de trojan is een voet op het systeem maakt gebruik van een van de twee rechten escalatie exploits CVE-2016-5195 (ook bekend als Vieze KOE) en CVE-2013-2094 om root rechten en hebben volledige toegang tot het OS.
De trojan dan stelt zich op als een lokale daemon, en zelfs de downloads nohup hulpprogramma om dit te bereiken werking als het programma niet aanwezig is.
Na de trojaanse heeft een stevige greep op de geïnfecteerde gastheer, het gaat dan om het uitvoeren van de primaire functie waarvoor het werd ontworpen voor, dat is cryptocurrency mijnbouw. De trojan zoekt en beëindigt de processen van de verschillende rivaliserende cryptocurrency-mijnbouw malware families, en downloadt vervolgens en begint zijn eigen Monero-mijnbouw.
Ook downloadt en draait een andere malware, bekend als de Bill.Gates trojan, een bekende DDoS-malware stam, maar die komt ook met vele backdoor-achtige functies.
Echter, Linux.BtcMine.174 is niet gedaan. De trojan zal ook kijken voor proces-namen die verband houden met Linux-gebaseerde antivirus-oplossingen, en het doden van hun uitvoering. Dr. Web onderzoekers zeggen dat ze hebben gezien dat de trojan stoppen antivirus processen die namen hebben zoals safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.
Maar ook na het stellen zich op als een daemon, het verkrijgen van root toegang via de bekende exploits, en het installeren van het Wetsvoorstel.Gates malware met backdoor-mogelijkheden, de trojan de exploitanten nog niet tevreden zijn met hun niveau van toegang tot de geïnfecteerde hosts.
Volgens Dr. Web, de trojan ook voegt zich als een autorun-toegang tot bestanden, zoals /etc/rc.lokale, /etc/rc.d/…, en /etc/cron.per uur, en vervolgens downloadt en draait een rootkit.
Deze rootkit component heeft zelfs meer ingrijpende functies, deskundigen gezegd, zoals “de mogelijkheid om te stelen van de gebruiker ingevoerde wachtwoorden voor het su commando en bestanden te verbergen in het bestand systeem, netwerk verbindingen en processen.”
Dat is nogal een indrukwekkende lijst van schadelijke functies, maar Linux.BtcMine.174 is nog niet gedaan. De trojan zal ook een functie dat informatie verzamelt over alle servers op afstand van de besmette gastheer is aangesloten via SSH en proberen verbinding te maken met die machines, om zichzelf te verspreiden en nog meer systemen.
Dit SSH self-verspreiding mechanisme wordt verondersteld om de trojan de belangrijkste distributiekanaal. Omdat de trojan is ook afhankelijk van het stelen van een geldig SSH referenties, dit betekent dat, zelfs als een Linux-systeembeheerders, voorzichtig zijn om een goed beveiligde servers’ SSH verbindingen toe en laat alleen een geselecteerd aantal hosts te sluiten, kunnen ze niet in staat een infectie te voorkomen als één van de geselecteerde gastgezinnen is geïnfecteerd zonder zijn medeweten.
Dr. Web heeft geüpload SHA1 bestands-hashes voor de trojan de verschillende onderdelen op GitHub, in het geval dat sommige systeembeheerders wilt scannen van hun systemen voor de aanwezigheid van deze relatief nieuwe bedreiging. Meer over Dr. Web analyse van Linux.BtcMine.174 hier.
Meer zekerheid:
Populaire Donkere Web hosting provider een keer gehackt, 6,500 bezienswaardigheden in deAWS rolt nieuwe beveiligingsfunctie om te voorkomen dat u per ongeluk S3 lekken van gegevensEmotet malware draait op een dual-infrastructuur te voorkomen, downtime en takedownsToegang tot gegevens voor 70% van de top-US & EU websites verkocht op de zwarte web TechRepublicMagecart groep hilarisch saboteert concurrentOnderzoekers vinden gestolen militaire drone geheimen voor verkoop op de donkere web CNETTweede WordPress te hacken campagne aan de gangHackers gebruiken Drupalgeddon 2 en Vuil KOE exploits over te nemen web servers
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters
0