A konkurenciával és a védvonalakkal is végez a linuxos kriptobányász

Új kriptobányász malware ütötte fejét, amely a Linux-alapú rendszereket veszi célba. Az élelmes Linux.BtcMine.174 kártevőt az orosz Dr.Web biztonsági cég szakértői fedezték fel, a rosszindulatú szoftver amellett, hogy egy sor, a hálózatra csatlakozó eszközt képes megfertőzni, akár a biztonsági szoftvereket is lekapcsolhatja.

A malware több komponensből áll: az első az adott rendszerre kerülve keres egy nem írásvédett könyvtárat, ahová a később letöltött modulok kerülhetnek. Ezt követően a nohup paranccsal újraindítja magát daemonként - ha pedig a nohup parancs nem található meg az adott rendszeren, a kártevő maga telepíti az azt tartalmazó coreutils csomagot. Ha mindez megtörtént a rosszindulatú szoftver a Dr.Web által Linux.BackDoor.Gates.9 néven emlegetett trójai letöltésével folytatja, amely egy sor ismert biztonsági rést tartalmaz, amelyeken keresztül a támadók parancsokat futtathatnak a rendszeren, vagy akár DDoS támadáshoz is csatasorba állíthatják azt. Amennyiben a Linux.BtcMine.174 nem root jogosultságokkal jut az adott rendszerre, több sebezhetőséget is végigpróbál jogosultságainak feltornázására. Ezek között ott van az Android által is megörökölt, linuxos DirtyCow biztonsági rés is.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

Miután a malware berendezkedett, elkezd rivális kártevők után kutatni az adott gépen, és ha ilyet talál, leállítja a hozzájuk tartozó folyamatokat. Ezt követően biztonsági szoftverek után is elkezd kutatni, és ha azokhoz köthető nevű futó szolgáltatást talál, mint például a safedog, aegis, yunsuo, clamd, avast, avgd, netán esets, nem csak leállítja azt, de a csomagkezelővel el is távolítja a elcsípett vírusirtót a gépről, annak telepítési könyvtárával együtt.

Ha a konkurenciát és a rendszer védelmi vonalait kiiktatta, a malware hozzáadja magát az automatikusan induló alkalmazások listájához, illetve egy rootkitet is elindít. Utóbbi modul képes a su parancshoz megadott felhasználói jelszavak begyűjtésére, valamint igény szerint fájlokat, futó folyamatokat és hálózati kapcsolatokat is el tud rejteni. A trójai az adatok birtokában terjeszkedni is megpróbál azokra az eszközökre, amelyekkel az adott rendszer korábban SSH kapcsolatot létesített.

Végül kártevő elindítja a kriptobányász-modulját az eszközön, amellyel a fertőzött gép erőforrásait használva Monero kriptovalutát igyekszik gyűjteni - és amelynek aktivitását percenként ellenőrzi, így ha kell, újra tudja indítani a bányászt. Mindeközben a malware a vezérlőszerverrel is tartja a kapcsolatot, ahonnan igény szerint frissítéseket is letölt. A Dr.Web GitHub oldalán közzétette a kártevő egyes komponenseinek SHA1 hash-eit, illetve az érdeklődők számára részletes leírást is közölt a fertőzés folyamatáról. Azt egyelőre nem tudni, hogy a kártevő eddig hány eszközt fertőzhetett meg.