Специалисты «Доктор Веб» обнаружили трояна, предназначенного для добычи криптовалюты, который может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Угроза получила идентификатор Linux.BtcMine.174 и представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.
Малварь состоит из нескольких компонентов. Так, при запуске троян проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и подыскивает на диске папку с правами на запись, в которую эти модули будут затем загружены. После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве демона. Для этого троян использует утилиту nohup. Если та в системе отсутствует, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.
В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий трояна Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.
После установки малварь ищет в системе конкурирующие майнеры и при обнаружении завершает их процессы. Если троян не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплоитов. Аналитики «Доктор Веб» выявили как минимум две эксплуатируемых им проблемы: это CVE-2016-5195 (она же DirtyCow) и CVE-2013-2094. При этом загруженные из интернета исходники эксплоита для DirtyCow троян компилирует прямо на зараженной машине.
После вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения малварь не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.
Затем троян регистрирует себя в автозагрузке, скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троян собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.
Выполнив все эти действия, троян, наконец, запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту малварь проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его снова. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.
ruslan_ravana
20.11.2018 в 20:19
какой продуманный майнер
Victor Georgievitch
29.11.2018 в 13:48
Дяденька, а мне ее самому скачать? Без описания попадания в систему все остальное блеф. Как она распространяется и проникает. А ваши 1000 строк просто пустая трескотня.
H8Life
21.11.2018 в 08:37
Вот так, пингвины, разоблачили ваши доводы про безопасность линукса
В Интернете кто-то не прав
26.11.2018 в 10:16
Безопасность Линукса — не в том, что его невозможно заразить. Если юзер — дурак, он заразит что угодно. В частности в данном случае дурак должен из какого-то мутного места добыть файл и запустить его, не глядя что в нём. Если юзер не дурак — его Линукс безопасен.
emeliyanov
02.12.2018 в 05:19
Если юзер не дурак, то его Виндоуз тоже весьма безопасен.
GingerBeard
21.11.2018 в 10:15
Уязвимости 2016 и 2013 годов!
Это фиаско…
ivan-ivan
21.11.2018 в 13:58
«разоблачили безопасность», «фиаско». А разобраться никак? По ссылочкам перейти на уязвимости, внимательно их почитать?
Эти две уязвимости 2013 года актуальны только для ядра 3.8.8. В данной момент доступно 4.19. Если кто-то вовремя не обновляется, то это не вина системы.
Что касается по поводу уязвимости 2016 года, то сразу же как только она была найдена был подготовлен патч, и была просьба обновиться.
В общем для актуальных ядер линукса эти уязвимости закрыты, те кто не обновляются сами виноваты, а д-р Веб по ходу перешел на черный пиар.
Хотя инфа была очень интересная, спасибо автору.