Wszechstronny trojan atakuje Linuxa. Szkodliwe programy potrafią coraz więcej
Malware atakujący Linuxa to bardzo rzadkie stworzenie, ale historia zna kilka przypadków występowania takich szkodników. Jeden z nich został właśnie opisany przez specjalistów z rosyjskiej firmy Dr.Web. Szczep jest bardzo rozbudowany i atakuje system na kilku frontach, choć jego głównym zadaniem jest kopanie kryptowaluty.
Malware jeszcze nie dostał własnej nazwy. Na razie został zaklasyfikowany jako Linux.BtcMine.174, choć kopanie kryptowaluty to tylko jedno z wielu zadań, jakie może wykonywać. Infekcja przebiega z użyciem trojana w postaci ogromnego skryptu shellowego, liczącego dobrze ponad tysiąc linii kodu. Plik jest rozprzestrzeniany przez połączenia SSH. Na zainfekowanym komputerze poszukuje informacji o wcześniejszych połączeniach i jeśli to możliwe, sam roześle się dalej tym kanałem i uruchomi na atakowanym systemie. Zadaniem skryptu jest znalezienie jakiegoś nieoczywistego folderu, do którego ma uprawnienia zapisu i skopiowanie tam swojego kodu. Później będą tam pobierane dodatkowe moduły, spełniające różne szkodliwe zadania.
Monero, exploity, DDoS i rootkit
Jeśli trojan znajdzie sobie odpowiednie miejsce, wykorzysta dwa exploity pozwalające na podniesienie uprawnień: CVE-2016-5195 (znane jako Dirty COW) oraz CVE-2013-2094 (luki są stare, ale wciąż mogą działać systemy, na których poprawki nie zostały zainstalowane). Dzięki nim uzyskuje uprawnienia roota i może działać. Malware ustawia się jako daemon lokalny i jest nawet w stanie ściągnąć narzędzie nohup, pozwalające uruchomić proces tak, by nie został zakończony po wylogowaniu użytkownika.
Kolejnym krokiem jest uruchomienie funkcji, do których trojan został zaprojektowany – kopania kryptowalut na zainfekowanym komputerze. Co ciekawe, zanim uruchomi własne skrypty obliczające, jest w stanie zakończyć działanie konkurencyjnych trojanów. Kiedy zostanie sam, ściąga oprogramowanie do kopania Monero.
Na tym jednak nie kończą się możliwości tego rozbudowanego trojana. W razie potrzeby może ściągnąć malware ze szczepu Bill.Gates, używany w przeprowadzaniu ataków typu DDoS i zapewniający tylne wejście do systemu. Linux.BtcMine.174 przeskanuje też system w poszukiwaniu procesów oprogramowania antywirusowego i zakończy ich działanie. Trojan może znaleźć takie procesy jak safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord i wiele innych. Gdy tego dokona, może dodać się do skryptów automatycznego uruchamiania (/etc/rc.local, /etc/rc.d/ lub analogiczne) i do harmonogramu crona, by w razie potrzeby startować co godzinę.
To dalej nie koniec. Linux.BtcMine.174 może ściągnąć i uruchomić rootkit z jeszcze bardziej inwazyjnymi narzędziami. Specjaliści twierdzą, że może on wykraść hasła użytkowników korzystających z su, by uzyskać uprawnienia roota. Wykorzysta je do ukrywania plików, zarządzania połączeniami sieciowymi i uruchamiania kolejnych procesów systemowych. Jak na trojana kopiącego Monero, Linux.BtcMine.174 ma imponujące możliwości.
Dr.Web udostępnił skróty SHA1 trojana i towarzyszących mu plików na GitHubie. Z ich użyciem administratorzy mogą sprawdzić systemy pod kątem infekcji.