En ny sikkerhedsrapport afslører, at en farlig ny Linux Trojan har vist sig at inficere computere over hele verden. Det er kategoriseret som en hybrid trussel, da det omfatter angreb scenarier for flere typer af infektioner. Angrebene viser sig at drage fordel af to sårbarheder: CVE-2016-5195 og CVE-2013-2094.
Den Linux.BtcMine.174 Trojan Udnytter Både CVE-2013-2094 og CVE-2016-5195
Linux trojanske heste fortsat fremstå som de har vist sig at være særligt effektivt mod masse-udsendt arbejdsstationer og servere på målrettede netværk. En særlig farlig infektion er for nylig blevet rapporteret at inficere netværk over hele verden.. Det er blevet tildelt den generiske identificeret af Linux.BtcMine.174. Den trojanske selv er en samling af kommandoer indeholdt i en shell script indeholder over 1,000 linjer kode. Infektionerne starter med et script, der søger efter en placering på den lokale harddisk, der har skriverettigheder. Der vil det kopiere sig selv og starte resten af modulerne.
Det bliver spredt ved hjælp af to exploits:
- CVE-2016-5195 - Dette er den berømte samling af exploits kendt som “Dirty Cow” som er rettet mod Linux og Android-enheder. Det var fastsat af Google i December 2016 opdatering bulletin. Dette er en kerne sårbarhed, der benytter sig af et løb tilstand, der gør det muligt for skadelig kode for at få skrive-adgang til read-only memory. Unpatched systemer kan nemt blive kompromitteret med virus kode.
- CVE-2013-2094 - Fejlen udnytter en sårbarhed i Linux-kernen, som gør det muligt for lokale brugere at opnå rettigheder til systemet.
Når påvirket malware kode vil sætte sig som en lokal dæmon som vil udløse download af infektionen motor. Linux Trojan vil fortsætte med lanceringen af den indbyggede konfiguration forbundet med hver kampagne. Det betyder, at hver enkelt angreb kan producere en anden adfærd og deraf følgende virkning. De optagne prøver hidtil starte en cryptocurrency minedrift instans. Før lanceringen selv det vil scanne hukommelse og indholdet af harddisken til andre minearbejdere. Dette gøres med henblik på at maksimere indtægter for de hacker operatører. Den aktuelle kampagne indlæser en Monero-baserede minearbejder.
Den Linux.BtcMine.174 Hybrid Linux Trojan fortsætter Yderligere
Efter truslen er blevet implanteret på målet systemet har vist sig de erhvervede Linux.BtcMine.174 prøver at hente en anden malware kaldet Bill Gates Trojan. Dette er en sofistikeret DDoS (distribueret denial-of-service,) virus, der også gør det muligt for hacker operatørerne til at overtage kontrollen med inficerede værter.
en tilhørende sikkerhed bypass er gjort så godt - det vil fidus til processer, der kører i hukommelsen, der er forbundet med Linux-baserede anti-virus produkter. Hvis en sådan findes, de vil blive dræbt på stedet for at undgå at blive opdaget. Efter det den trojanske vil sætte sig som en dæmon og installere en rootkit modul. Det superseeds den trojanske drift ved at kunne stjæle brugerindtastede adgangskoder og skjule sig dybt i systemet.
Analysen af Linux.BtcMine.174 viser, at en separat funktion er installeret som vil høst legitimationsoplysninger oplysninger, i dette særlige tilfælde en liste over alle fjerntliggende servere og legitimationsoplysninger. Dette gør det muligt for hacker operatørerne til at kapre de krævede strenge og være i stand til at oprette forbindelse til disse maskiner. Dette giver mulighed for automatiseret infektion af hele netværk af computere.
Det menes, at denne mekanisme er den vigtigste distributionskanal. Aktive infektioner kan være svært at få øje på, da de er ikke anderledes end almindelige fjernforbindelser initieret af brugere. De kontrolsummer for de fundne trojanske filer er blevet offentliggjort på GitHub. Dette gør det muligt for systemadministratorer at scanne deres systemer og identificere, om de er blevet smittet.