Απαγορεύστε στις εφαρμογές να παρακολουθούν το smartphone σας μέσα από απλά βήματα!
infosec

Απαγορεύστε στις εφαρμογές να παρακολουθούν το smartphone σας μέσα από απλά βήματα!

Εκατοντάδες εφαρμογές μπορούν να σας παρακολουθούν και να μοιραστούν προσωπικές πληροφορίες με τους διαφημιστές και τους λιανοπωλητές. Υπάρχει όμως τρόπος...
Read More
infosec

Μανώλης Σφακιανάκης: Νέα γραφεία του Cyber Security International Institute (CSIi) στη Θεσσαλονίκη

Την έναρξη λειτουργίας γραφείου του Cyber Security International Institute (CSIi) στη Θεσσαλονίκη ανακοίνωσε ο πρώην επικεφαλής της Δίωξης Ηλεκτρονικού Εγκλήματος,...
Read More
infosec

Bethesda: Εκτέθηκαν προσωπικά στοιχεία που υπήρχαν στα αιτήματα υποστήριξης

Αφού ζήτησαν τα προσωπικά στοιχεία των πελατών τους στην Fallout 76 στα αιτήματα υποστήριξης (support tickets), η Bethesda Software LLC...
Read More
infosec

Φαίνεται ότι AI bots μπορούν να παραβιάσουν εύκολα τα CAPTCHA

Εάν είστε ένας από  τους ανθρώπους που μισούν τη διαδικασία να διαλέγουν αυτοκίνητα, πινακίδες δρόμου και άλλα αντικείμενα σε πλέγματα...
Read More
infosec

Safari: USB security sticks υποστηρίζει πλέον ο περιηγητής της Apple

Η τελευταία έκδοση του Apple Safari υποστηρίζει το WebAuthentication (WebAuthn) API, το οποίο επιτρέπει στους κατόχους του να κάνουν login...
Read More
Latest Posts

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο ισχυρό Linux cryptominer

cryptominerΟι ερευνητές ασφαλείας της ρωσικής εταιρείας προστασίας από ιούς Dr.Web, ανακάλυψαν ένα νέο στέλεχος Linux cryptominer που ανιχνεύτηκε ως Linux.BtcMine.174.

Το Linux cryptominer έχει μια δομή πολλαπλών στοιχείων, που υλοποιεί ένα ευρύ φάσμα χαρακτηριστικών σε πάνω από 1.000 γραμμές κώδικα.

Όταν εκτελείται αρχικά το Monero Linux cryptominer, ελέγχει εάν είναι διαθέσιμος ο server από τον οποίο το Trojan θα κατεβάσει εν συνεχεία πρόσθετα στοιχεία.

Στη συνέχεια, βρίσκει ένα φάκελο στο δίσκο στον οποίο έχει δικαιώματα εγγραφής, ώστε να μπορεί να αντιγραφεί και να το χρησιμοποιήσει ως αποθήκη για τη λήψη πρόσθετων ενοτήτων.

Το Linux.BtcMine.174 Linux cryptominer χρησιμοποιεί ένα από τα δύο privilege escalation exploits, CVE-2016-5195 (aka Dirty COW) and CVE-2013-2094, για να πάρει δικαιώματα root στο μολυσμένο σύστημα.

Το Linux miner προστίθεται επίσης ως autorun σε αρχεία όπως /etc/rc.local, /etc/rc.d/…, και /etc/cron.hourly. και στη συνέχεια μεταφορτώνει και τρέχει ένα rootkit.

Μόλις το κακόβουλο λογισμικό έχει μολύνει το σύστημα Linux, θα σαρώσει και θα τερματίσει τις διαδικασίες αρκετών miners και θα ανιχνεύσει / proc / $ {pid} / exe και / proc / $ {pid} / cmdline για να ελέγξει για συγκεκριμένες γραμμές + tcp, κλπ.). Οι ειδικοί ανακάλυψαν ότι το Trojan τερματίζει επίσης τη λειτουργία λογισμικών προστασίας από ιούς, συμπεριλαμβανομένων των Avast, AVG, Dr.Web και ESET.

Στη συνέχεια, το Linux.BtcMine.174. κατεβάζει και ξεκινά το δικό του Monero cryptominer.

Το κακόβουλο λογισμικό κατεβάζει επίσης ένα άλλο Trojan, που ανιχνεύεται ως Linux.BackDoor.Gates.9, το οποίο υλοποιεί χαρακτηριστικά backdoor και επιτρέπει την εκτέλεση επιθέσεων DDoS. Το Linux.BtcMine.174, μεταφορτώνεται και εκτελείται με την ικανότητα να κλέβει τους κωδικούς πρόσβασης που έχουν εισαχθεί από τον χρήστη για την εντολή su και να αποκρύπτει αρχεία στο file system, τις συνδέσεις δικτύου και τις διεργασίες που εκτελούνται.

Το Trojan συλλέγει επίσης δεδομένα για όλους τους κεντρικούς υπολογιστές, στους οποίους ο εκάστοτε χρήστης έχει συνδεθεί προηγουμένως μέσω SSH και προσπαθεί να τα συνδέσει.

Οι ειδικοί πιστεύουν ότι το κακόβουλο λογισμικό εξαπλώνεται χρησιμοποιώντας πιστοποιήσεις SSH που έχουν κλαπεί στα μολυσμένα συστήματα.

Επιπλέον τεχνικές λεπτομέρειες περιλαμβάνονται στην έκθεση που δημοσίευσε το Dr.Web και στο GitHub.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *