Οι ερευνητές ασφαλείας της ρωσικής εταιρείας προστασίας από ιούς Dr.Web, ανακάλυψαν ένα νέο στέλεχος Linux cryptominer που ανιχνεύτηκε ως Linux.BtcMine.174.
Το Linux cryptominer έχει μια δομή πολλαπλών στοιχείων, που υλοποιεί ένα ευρύ φάσμα χαρακτηριστικών σε πάνω από 1.000 γραμμές κώδικα.
Όταν εκτελείται αρχικά το Monero Linux cryptominer, ελέγχει εάν είναι διαθέσιμος ο server από τον οποίο το Trojan θα κατεβάσει εν συνεχεία πρόσθετα στοιχεία.
Στη συνέχεια, βρίσκει ένα φάκελο στο δίσκο στον οποίο έχει δικαιώματα εγγραφής, ώστε να μπορεί να αντιγραφεί και να το χρησιμοποιήσει ως αποθήκη για τη λήψη πρόσθετων ενοτήτων.
Το Linux.BtcMine.174 Linux cryptominer χρησιμοποιεί ένα από τα δύο privilege escalation exploits, CVE-2016-5195 (aka Dirty COW) and CVE-2013-2094, για να πάρει δικαιώματα root στο μολυσμένο σύστημα.
Το Linux miner προστίθεται επίσης ως autorun σε αρχεία όπως /etc/rc.local, /etc/rc.d/…, και /etc/cron.hourly. και στη συνέχεια μεταφορτώνει και τρέχει ένα rootkit.
Μόλις το κακόβουλο λογισμικό έχει μολύνει το σύστημα Linux, θα σαρώσει και θα τερματίσει τις διαδικασίες αρκετών miners και θα ανιχνεύσει / proc / $ {pid} / exe και / proc / $ {pid} / cmdline για να ελέγξει για συγκεκριμένες γραμμές + tcp, κλπ.). Οι ειδικοί ανακάλυψαν ότι το Trojan τερματίζει επίσης τη λειτουργία λογισμικών προστασίας από ιούς, συμπεριλαμβανομένων των Avast, AVG, Dr.Web και ESET.
Στη συνέχεια, το Linux.BtcMine.174. κατεβάζει και ξεκινά το δικό του Monero cryptominer.
Το κακόβουλο λογισμικό κατεβάζει επίσης ένα άλλο Trojan, που ανιχνεύεται ως Linux.BackDoor.Gates.9, το οποίο υλοποιεί χαρακτηριστικά backdoor και επιτρέπει την εκτέλεση επιθέσεων DDoS. Το Linux.BtcMine.174, μεταφορτώνεται και εκτελείται με την ικανότητα να κλέβει τους κωδικούς πρόσβασης που έχουν εισαχθεί από τον χρήστη για την εντολή su και να αποκρύπτει αρχεία στο file system, τις συνδέσεις δικτύου και τις διεργασίες που εκτελούνται.
Το Trojan συλλέγει επίσης δεδομένα για όλους τους κεντρικούς υπολογιστές, στους οποίους ο εκάστοτε χρήστης έχει συνδεθεί προηγουμένως μέσω SSH και προσπαθεί να τα συνδέσει.
Οι ειδικοί πιστεύουν ότι το κακόβουλο λογισμικό εξαπλώνεται χρησιμοποιώντας πιστοποιήσεις SSH που έχουν κλαπεί στα μολυσμένα συστήματα.
Επιπλέον τεχνικές λεπτομέρειες περιλαμβάνονται στην έκθεση που δημοσίευσε το Dr.Web και στο GitHub.
