Zero
Malware che prende di mira gli utenti di Linux potrebbe non essere così diffusa come i ceppi di targeting ecosistema Windows, ma Linux malware sta diventando altrettanto complesso e multi-funzionale, come il tempo passa.
L’ultimo esempio di questa tendenza è un nuovo trojan scoperto questo mese, il russo antivirus creatore di Dr. Web. Questo nuovo malware ceppo non ha un nome distintivo, di sicurezza, di essere registrati solo sotto il generico nome di rilevamento di Linux.BtcMine.174.
Ma nonostante il nome generico, il trojan è un po ‘ più complesso di quanto la maggior parte del malware su Linux, principalmente a causa della pletora di funzioni maligne.
Lo stesso trojan è un gigante script di shell di più di 1000 linee di codice. Questo script è il primo file eseguito su un infetto sistema Linux. La prima cosa di questo script è quello di trovare una cartella su disco, per cui dispone di autorizzazioni di scrittura così può copiare se stesso e utilizzare in seguito per scaricare altri moduli.
Una volta che il trojan ha un punto d’appoggio sul sistema utilizza uno dei due privilege escalation exploit CVE-2016-5195 (noto anche come Sporco di MUCCA) e CVE-2013-2094 per ottenere i permessi di root e avere pieno accesso al sistema operativo.
Il trojan si propone come un locale demone, e anche i download nohup utilità per realizzare questa operazione se l’utilità non è già presente.
Dopo che il trojan ha una solida conoscenza del host infetto, si passa poi ad eseguire la sua funzione primaria per cui è stato progettato, che è cryptocurrency di data mining. Il trojan di analisi prima e termina i processi dei diversi rivale cryptocurrency-mining famiglie di malware, quindi scarica e avvia la propria Monero-operazione di data mining.
Scarica anche ed esegue un altro malware, noto come il disegno di legge.Porte di troia, un noto DDoS malware ceppo, ma che viene fornito anche con molti backdoor-come le funzioni.
Tuttavia, Linux.BtcMine.174 non viene fatto. Il trojan che cerca anche il processo di nomi associati con Linux-based di soluzioni antivirus, e uccidere la loro esecuzione. Dr. Web ricercatori affermano di aver visto il trojan interrompere antivirus processi che hanno nomi come safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.
Ma anche dopo aver impostato su se stesso come un demone, ottenere i permessi di root tramite exploit conosciuti, e l’installazione del disegno di legge.Porte malware con le sue funzionalità di backdoor, trojan operatori ancora non sono felici con il loro livello di accesso host infetti.
Secondo il Dr. Web, il trojan si aggiunge anche stesso come un autorun voce file /etc/rc.locale /etc/rc.d/… e /etc/cron.ogni ora; e poi si scarica e si esegue un rootkit.
Questo rootkit componente è ancora più invadente caratteristiche, gli esperti hanno detto, come “la capacità di rubare inserite dall’utente e password per il comando su e per nascondere i file nel file system, connessioni di rete e processi in esecuzione.”
E ‘ abbastanza impressionante elenco di funzioni dannose, ma Linux.BtcMine.174 non è ancora fatto. Il trojan viene eseguita anche una funzione che raccoglie informazioni su tutti i server remoti infetto host è connesso via SSH e si tenta di connettersi a quelle macchine, a diffondersi ancora di più sistemi.
Questo SSH auto-diffusione meccanismo è creduto per essere il trojan principale canale di distribuzione. Perché il trojan si basa anche sul furto valida SSH credenziali, questo significa che, anche se alcune Linux amministratori di sistema, di fare attenzione a proteggere adeguatamente i loro server per le connessioni SSH e consentire solo ad un selezionato numero di host per la connessione, si potrebbe non essere in grado di prevenire l’infezione se uno di quelli selezionati padroni di casa è stato infettato senza la sua conoscenza.
Dr. Web ha caricato SHA1 hash di file per il trojan vari componenti su GitHub, nel caso in cui alcuni amministratori di sistema, desidera eseguire la scansione dei loro sistemi per la presenza di questa relativamente nuova minaccia. Di più su Dr. Web, l’analisi di Linux.BtcMine.174 qui.
Più copertura di sicurezza:
Popolare Scuro provider di Web hosting ha violato, di 6.500 siti giùAWS lancia la nuova funzionalità di sicurezza per evitare accidentali S3 perdite di datiEmotet malware viene eseguito su un processore dual infrastruttura per evitare tempi di inattività e chiusuredati di Accesso per il 70% di USA e UE, siti web vendita sul buio web TechRepublicMagecart gruppo esilarante sabotaggi del concorrentei Ricercatori a trovare rubato militare drone segreti per la vendita sul buio web CNETSeconda WordPress hacking campagna in corsogli Hacker utilizzano Drupalgeddon 2 e Sporco MUCCA exploit di prendere in consegna i server web
Argomenti Correlati:
Linux
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0