Wszechstronny trojan atakuje Linuxa. Szkodliwe programy potrafią coraz więcej

Strona głównaWszechstronny trojan atakuje Linuxa. Szkodliwe programy potrafią coraz więcej
24.11.2018 13:16
Wszechstronny trojan atakuje Linuxa
Wszechstronny trojan atakuje Linuxa

Malware atakujący Linuxa to bardzo rzadkie stworzenie, ale historia zna kilka przypadków występowania takich szkodników. Jeden z nich został właśnie opisany przez specjalistów z rosyjskiej firmy Dr.Web. Szczep jest bardzo rozbudowany i atakuje system na kilku frontach, choć jego głównym zadaniem jest kopanie kryptowaluty.

bEBVTXbF

Malware jeszcze nie dostał własnej nazwy. Na razie został zaklasyfikowany jako Linux.BtcMine.174, choć kopanie kryptowaluty to tylko jedno z wielu zadań, jakie może wykonywać. Infekcja przebiega z użyciem trojana w postaci ogromnego skryptu shellowego, liczącego dobrze ponad tysiąc linii kodu. Plik jest rozprzestrzeniany przez połączenia SSH. Na zainfekowanym komputerze poszukuje informacji o wcześniejszych połączeniach i jeśli to możliwe, sam roześle się dalej tym kanałem i uruchomi na atakowanym systemie. Zadaniem skryptu jest znalezienie jakiegoś nieoczywistego folderu, do którego ma uprawnienia zapisu i skopiowanie tam swojego kodu. Później będą tam pobierane dodatkowe moduły, spełniające różne szkodliwe zadania.

Monero, exploity, DDoS i rootkit

Jeśli trojan znajdzie sobie odpowiednie miejsce, wykorzysta dwa exploity pozwalające na podniesienie uprawnień: CVE-2016-5195 (znane jako Dirty COW) oraz CVE-2013-2094 (luki są stare, ale wciąż mogą działać systemy, na których poprawki nie zostały zainstalowane). Dzięki nim uzyskuje uprawnienia roota i może działać. Malware ustawia się jako daemon lokalny i jest nawet w stanie ściągnąć narzędzie nohup, pozwalające uruchomić proces tak, by nie został zakończony po wylogowaniu użytkownika.

Kolejnym krokiem jest uruchomienie funkcji, do których trojan został zaprojektowany – kopania kryptowalut na zainfekowanym komputerze. Co ciekawe, zanim uruchomi własne skrypty obliczające, jest w stanie zakończyć działanie konkurencyjnych trojanów. Kiedy zostanie sam, ściąga oprogramowanie do kopania Monero.

bEBVTXbH

Na tym jednak nie kończą się możliwości tego rozbudowanego trojana. W razie potrzeby może ściągnąć malware ze szczepu Bill.Gates, używany w przeprowadzaniu ataków typu DDoS i zapewniający tylne wejście do systemu. Linux.BtcMine.174 przeskanuje też system w poszukiwaniu procesów oprogramowania antywirusowego i zakończy ich działanie. Trojan może znaleźć takie procesy jak safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord i wiele innych. Gdy tego dokona, może dodać się do skryptów automatycznego uruchamiania (/etc/rc.local, /etc/rc.d/ lub analogiczne) i do harmonogramu crona, by w razie potrzeby startować co godzinę.

To dalej nie koniec. Linux.BtcMine.174 może ściągnąć i uruchomić rootkit z jeszcze bardziej inwazyjnymi narzędziami. Specjaliści twierdzą, że może on wykraść hasła użytkowników korzystających z su, by uzyskać uprawnienia roota. Wykorzysta je do ukrywania plików, zarządzania połączeniami sieciowymi i uruchamiania kolejnych procesów systemowych. Jak na trojana kopiącego Monero, Linux.BtcMine.174 ma imponujące możliwości.

Dr.Web udostępnił skróty SHA1 trojana i towarzyszących mu plików na GitHubie. Z ich użyciem administratorzy mogą sprawdzić systemy pod kątem infekcji.

Programy

Aktualizacje
Aktualizacje
Nowości
bEBVTXcD