Skidmap er en ny cryptomining malware (cryptominer) der bruger belastbare kernemoduler (LKMs) at snige sig ind Linux-systemer. Den malware er i stand til at skjule sine ondsindede aktiviteter ved at vise falske netværk trafikstatistikker.
Ifølge Trend Micro forskere, der faldt over Skidmap, malware udviser den stigende kompleksitet i de seneste trusler cryptocurrency-minedrift. Hvad gør Skidmap skiller sig ud er den måde, det indlæser ondsindede LKMs at skjule sine krypto minedrift. De LKMs overskrive eller ændre dele af kernen, hvilket gør det malware vanskeligt at rengøre. Oven i købet, Skidmap udnytter også flere infektionsmekanismer og er også i stand til re-inficerende værter der er blevet rengjort op.
Skidmap Cryptocurrency Miner: Nogle Tekniske detaljer
Med hensyn til installation, disse er de trin malware følger:
1. Den malware installerer sig selv via crontab (liste over kommandoer, der er kørt på en regelmæssig tidsplan) på målrettede systemer;
2. Installationen script pm.sh henter den vigtigste binære ”pc” (opdaget af Trend Micro som Trojan.Linux.SKIDMAP.UWEJX).
Når det binære udføres, systemets sikkerhedsindstillinger signifikant nedsætter. Endvidere, den Skidmap malware sikrer også en måde at få bagdør adgang til den målrettede maskine ved at have den binære tilføje den offentlige nøgle for sine handlere til authorized_keys fil, som indeholder nøgler er nødvendige for godkendelse, trend Micro rapporteret.
Skidmap erstatter også pam_unix.so modul, som er ansvarlig for standard Unix-godkendelse, med en ondsindet version, der accepterer en adgangskode for eventuelle brugere. Denne måde malware giver trussel aktører til at logge på som en bruger i maskinen.
Den binære er også designet til at droppe minearbejder del i overensstemmelse med fordelingen til stede på det inficerede system - Debian Linux, CentOS,eller Red Hat Enterprise Linux.
Ud over den cryptocurrency miner, Skidmap også dråber følgende komponenter:
- En falsk ”rm” binær - En af de komponenter, der er indeholdt i tar-filen er en falsk ”rm” binær, der vil erstatte den oprindelige (rm anvendes normalt som kommando til at slette filer). Den ondsindede rutine af denne fil opstiller en ondsindet cron job, der ville hente og eksekvere en fil. Denne rutine vil ikke altid overholdes, dog, da det kun ville blive udført tilfældigt.
- kaudited - En fil installeret som / usr / bin / kaudited. Denne binære vil falde og installere flere belastbare kernemoduler (LKMs) på den inficerede maskine. For at sikre, at den inficerede maskine ikke vil gå ned på grund af rootkits de kernel-mode, det bruger forskellige moduler til specifikke kerne-versioner. Den kaudited binære falder også en vagthund komponent, der vil overvåge cryptocurrency minearbejder fil og proces.
- iproute - Dette modul kroge systemet opkald, getdents (normalt til at læse indholdet af en mappe) for at skjule bestemte filer.
- netlink - Denne rootkit forfalskninger netværkstrafik-statistikkerne (specifikt trafik involverer visse IP-adresser og porte) og CPU-relaterede statistik (skjule “pamdicks” proces og CPU-belastning). Dette ville gøre CPU-belastning af den inficerede maskine vises altid lav. Dette vil sandsynligvis gøre det ud, som om intet er galt for brugeren (så højt CPU-forbrug er et rødt flag cryptocurrency-mining malware).
Afslutningsvis, Skidmap er en temmelig avanceret cryptocurrency malware, der indeholder komponenter til at hjælpe det forblive uopdaget. Dens udseende viser, at minearbejdere måske ikke er så udbredt, men stadig udgør store risici for brugere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: