Специалисты «Доктор Веб» обнаружили трояна, предназначенного для добычи криптовалюты, который может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Угроза получила идентификатор Linux.BtcMine.174 и представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

Малварь состоит из нескольких компонентов. Так, при запуске троян проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и подыскивает на диске папку с правами на запись, в которую эти модули будут затем загружены. После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве демона. Для этого троян использует утилиту nohup. Если та в системе отсутствует, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий трояна Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Новости

После установки малварь ищет в системе конкурирующие майнеры и при обнаружении завершает их процессы. Если троян не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплоитов. Аналитики «Доктор Веб» выявили как минимум две эксплуатируемых им проблемы: это CVE-2016-5195 (она же DirtyCow) и CVE-2013-2094. При этом загруженные из интернета исходники эксплоита для DirtyCow троян компилирует прямо на зараженной машине.

После вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения малварь не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.

Затем троян регистрирует себя в автозагрузке, скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троян собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.

Выполнив все эти действия, троян, наконец, запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту малварь проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его снова. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.

7 комментариев

  1. ruslan_ravana

    20.11.2018 at 20:19

    какой продуманный майнер

    • Victor Georgievitch

      29.11.2018 at 13:48

      Дяденька, а мне ее самому скачать? Без описания попадания в систему все остальное блеф. Как она распространяется и проникает. А ваши 1000 строк просто пустая трескотня.

  2. H8Life

    21.11.2018 at 08:37

    Вот так, пингвины, разоблачили ваши доводы про безопасность линукса

    • В Интернете кто-то не прав

      26.11.2018 at 10:16

      Безопасность Линукса — не в том, что его невозможно заразить. Если юзер — дурак, он заразит что угодно. В частности в данном случае дурак должен из какого-то мутного места добыть файл и запустить его, не глядя что в нём. Если юзер не дурак — его Линукс безопасен.

  3. GingerBeard

    21.11.2018 at 10:15

    Уязвимости 2016 и 2013 годов!
    Это фиаско…

  4. ivan-ivan

    21.11.2018 at 13:58

    «разоблачили безопасность», «фиаско». А разобраться никак? По ссылочкам перейти на уязвимости, внимательно их почитать?

    Эти две уязвимости 2013 года актуальны только для ядра 3.8.8. В данной момент доступно 4.19. Если кто-то вовремя не обновляется, то это не вина системы.

    Что касается по поводу уязвимости 2016 года, то сразу же как только она была найдена был подготовлен патч, и была просьба обновиться.

    В общем для актуальных ядер линукса эти уязвимости закрыты, те кто не обновляются сами виноваты, а д-р Веб по ходу перешел на черный пиар.

    Хотя инфа была очень интересная, спасибо автору.

Оставить мнение