Sucuri Forscher berichteten nur, dass jemand in Kontakt kam mit ihnen in Bezug auf „einem böswilligen Prozess hatten sie auf ihren Web-Server erkannt laufen“. Der Prozess in Frage war ziemlich schwer auf dem CPU, zeigt auf einen cryptominer Prozess läuft im Hintergrund.
Während ihre Analyse, die Forscher konnten feststellen, dass die cryptominer über ein Bash-Skript heruntergeladen wurde als cr2.sh bekannt, die auf dem Server in einer unbekannten Art und Weise fallen gelassen.
Was passiert, nachdem die Bash-Datei ausgeführt wird,? Es wird gesetzt, Prozesse aus einer Liste von Prozessnamen zu töten, die zur cryptomining verwendet ist, wie xmrig und cryptonight, unter anderem.
Es prüft dann, ob der böswillige Prozess bereits ausgeführt wird und sendet eine Anforderung an eine PHP-Datei auf einem separaten Server gehostet. Diese Datei gibt die IP-Adresse, die den tatsächlichen cryptominer Inhalt durch den bösartigen Prozess ausgeführt packt.
Mehr zu dem cr2.sh Bash-Skript
Das cr2.sh Skript muss auch bestimmen, ob die OS-Umgebung ist 32- oder 64-Bit, um die Nutzlast herunterzuladen cryptomining. Um dies zu tun es nutzt die curl oder wget Befehl als / tmp / php, während der Konfigurationsdatei des Bergmann ist aus dem gleichen Server heruntergeladen, Die Forscher erklärten,.
Das Skript wurde nun auf dem Web-Server heruntergeladen alle notwendigen Inhalte zu gehen und den Prozess Laichen mit nohup, der es ermöglicht der Prozess läuft unabhängig fortzusetzen, wenn der Benutzer seine Sitzung beendet bash.
In der nächsten Phase, der Bergmann-Prozess in den Speicher des geladenen nun Linux-Host wird die Nutzlast sowie die Konfigurationsdatei löschen. Dies geschieht, seine Präsenz zu sichern und zu verbergen.
Die Malware ist auch in der Lage Beharrlichkeit zu erreichen durch einen cron-Job zu schaffen, die festgelegt wird jede Minute laufen. Außerdem, es wird prüfen, für die die cr2.sh Bash-Skript, und wenn das Skript fehlt, es wird wieder Download-und einmal ausführen wieder:
Nur für den Fall, dass jemand erkennt den Prozess und tötet sie zusammen mit der anfänglichen cr2.sh Datei, die Datei erstellt eine cronjob (es sei denn, es ist bereits vorhanden). Dieser Cron ist geplant, jede Minute laufen, erneut herunterladen die cr2.sh Datei, wenn sie fehlt, und führen Sie den bösartigen Bash-Skript.
Beachten Sie, dass nicht nur Web-Server durch diesen Angriff ausgerichtet ist, sondern auch Desktop-Installationen von 32/64-Bit-Linux-Systemen, und andere Varianten, Einsatz Windows-Installationen zu infizieren.