Sucuri forskere netop rapporteret, at nogen kom i kontakt med dem om ”en ondsindet proces, de havde opdaget kører på deres webserver”. Processen pågældende var ganske tungt på CPU, peger på en cryptominer proces kørende i baggrunden.
I løbet af deres analyse, forskerne var i stand til at fastslå, at cryptominer blev hentet via en Bash script kaldet cr2.sh, der tabes på serveren i en ukendt måde.
Hvad sker der efter bash filen eksekveres? Det er sat til at dræbe processer fra en liste af proces navne, som er relateret til cryptomining, såsom xmrig og cryptonight, blandt andre.
Derefter kontrollerer at se, om den skadelige proces allerede kører og sender en anmodning til en PHP fil hostet på en separat server. Denne fil udgange IP-adressen, der griber den faktiske cryptominer indhold drives af ondsindet proces.
Mere om cr2.sh bash-script
Den cr2.sh script også nødt til at afgøre, om OS miljø er 32- eller 64-bit for at downloade cryptomining nyttelast. For at gøre dette det udnytter krølle eller wget kommando som / tmp / php, mens minearbejdere konfigurationsfilen downloades fra den samme server, forskerne forklarede.
Scriptet har nu hentet til webserveren alle de nødvendige indhold til at gå videre og gyde processen ved hjælp nohup, som gør det muligt at processen fortsætter med at køre, uanset om brugeren ender deres bash-session.
I sin næste fase, minearbejder processen nu lagt i Linux værtens hukommelse sletter nyttelasten samt dens konfigurationsfil. Dette gøres for at sikre og skjule sin tilstedeværelse.
Den malware er også i stand til at opnå vedholdenhed ved at skabe et cron job, der er indstillet til at køre hvert minut. Desuden, det vil kontrollere for den cr2.sh Bash script, og hvis der mangler scriptet, det vil re-download og udføre det igen:
Bare i tilfælde af en person registrerer processen og dræber det sammen med den oprindelige cr2.sh fil, filen skaber et cronjob (medmindre det findes allerede). Denne cron er planlagt til at køre hvert minut, re-downloade cr2.sh filen, hvis den mangler, og udføre ondsindet bash-script.
Bemærk, at ikke kun web-servere er målrettet ved dette angreb, men også desktop installationer af 32 / 64bit Linux-systemer, og andre varianter, indsat for at inficere Windows-installationer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: