Nul
Malware rettet mod Linux-brugere er måske ikke så udbredt som de stammer, der er rettet mod Windows-økosystem, men Linux-malware er ved at blive lige så komplekse og multi-funktionel som tiden går.
Det seneste eksempel på denne tendens er en ny trojansk opdagede denne måned af russiske antivirus kaffefaciliteter Dr. Web. Dette nye malware stamme ikke har et entydigt navn, og alligevel er der kun spores under dens generiske afsløring af navnet på Linux.BtcMine.174.
Men på trods af det generiske navn, den trojan er en lille smule mere kompliceret end de fleste Linux-malware, primært på grund af den overflod af ondsindede funktioner det indeholder.
Den trojanske i sig selv er en kæmpe shell script på over 1.000 linjer kode. Dette script er den første fil, der udføres på en inficeret Linux-system. Den første ting det scriptet gør er at finde en mappe på disken, som det har skriverettigheder så det kan kopiere sig selv og senere bruge til at overføre andre moduler.
Når trojan har fodfæste på det system, det bruger en af to rettighedsforøgelse udnytter CVE-2016-5195 (også kendt som Dirty KO) og CVE-2013-2094 at få root-rettigheder, og som har fuld adgang til OS.
Den trojanske så sætter sig selv op som en lokal dæmon, og selv henter nohup værktøj til at opnå denne operation, hvis programmet ikke allerede er til stede.
Efter den trojanske hest har et fast greb om den er smittet vært, og derefter går videre til at udføre sin primære funktion, som den var designet til, som er cryptocurrency minedrift. Den trojanske første scanninger og afslutter processer af flere rivaliserende cryptocurrency-mining malware familier, og derefter downloader og starter sin egen Monero-minedrift.
Det er også downloader og kører en anden malware, der er kendt som Bill.Gates trojan, en kendt DDoS-malware stamme, men som også kommer med mange bagdør-lignende funktioner.
Men Linux.BtcMine.174 er ikke gjort med det. Den trojan vil også se på processen navne, der er forbundet med Linux-baserede antivirus-løsninger, og dræbe deres udførelse. Dr. Web forskere siger, at de har set den trojanske stop antivirus processer, der har navne som safedog, ledelse, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.
Men selv efter, sætter sig selv op som en dæmon, til at få root-rettigheder via kendte exploits, og installation af Regningen.Gates malware med sin bagdør kapaciteter, trojanske operatører, der stadig ikke er tilfredse med deres niveau af adgang til inficerede værter.
Ifølge Dr. Web, den trojanske også tilføjer sig selv som en autorun adgang til filer såsom /etc/rc.lokale, /etc/rc.d/…, og /etc/cron.hver time, og derefter downloader og kører en rootkit.
Dette rootkit-komponenten er endnu mere påtrængende funktioner, eksperter sagde, såsom “evnen til at stjæle af brugeren indtastede adgangskoder for su kommandoen og for at skjule filer i filsystemet, netværksforbindelser, og kørende processer.”
Det er ganske imponerende liste af ondsindede funktioner, men Linux.BtcMine.174 er stadig ikke færdig. Den trojan vil også køre en funktion, der indsamler oplysninger om alle de eksterne servere den inficerede vært har tilsluttet via SSH, og vil forsøge at oprette forbindelse til disse maskiner, som skal sprede sig til endnu flere systemer.
Dette SSH-selv-spredning mekanisme menes at være den trojanske vigtigste distributionskanal. Fordi den trojanske også bygger på at stjæle gyldig SSH legitimationsoplysninger, dette betyder, at selv hvis nogle Linux-systemadministratorer er omhyggelig med at fastgøre deres servere ” SSH-forbindelser, og tillad kun et udvalgt antal af værter til at forbinde, de måske ikke være i stand til at forhindre en infektion, hvis en af de valgte værter er blevet smittet uden hans viden.
Dr. Web, har uploadet SHA1 hashværdier for de trojanske forskellige komponenter på GitHub, i tilfælde af at nogle systemadministratorer ønsker at scanne deres systemer for tilstedeværelsen af dette relativt nye trussel. Mere om Dr. Web analyse af Linux.BtcMine.174 her.
Mere sikkerhed dækning:
Populære Dark Web hosting provider fik hacket, 6,500 sites nedAWS ruller ud af nye sikkerhedsfunktion for at forhindre utilsigtet S3 data lækagerEmotet malware kører på en dual-infrastruktur for at undgå nedetid og takedownsAdgang til data for 70% af de øverste USA & EU ‘ s hjemmesider, der sælges på the dark web TechRepublicMagecart gruppe afsindigt saboterer konkurrentForskere med at finde stjålne militær drone hemmeligheder til salg på the dark web CNETAndet WordPress hacking kampagne i gangHackere bruger Drupalgeddon 2 og Beskidt KOEN udnytter til at overtage web-servere
Relaterede Emner:
Linux
Sikkerhed-TV
Data Management
CXO
Datacentre
0