Ein neuer Sicherheitsbericht zeigt, dass ein gefährlicher neue Linux Trojan Computer gefunden wurde weltweit infizieren. Es wird als Hybrid-Bedrohung eingestuft, da sie Angriffsszenarien von mehreren Arten von Infektionen umfassen. Die Angriffe sind gefunden Vorteil von zwei Schwachstellen ergreifen: CVE-2016-5195 und CVE-2013-2094.
Der Linux.BtcMine.174 Trojan nutzt sowohl die CVE-2013-2094 und CVE-2016-5195
Massen eingesetzt Workstations und Server auf gezielte Netzwerke Linux Trojaner weiterhin entstehen, wie sie gegenüber als besonders wirksam erwiesen haben. Eine besonders gefährliche Infektion ist vor kurzem berichtet worden Netzwerke weltweit infizieren.. Es wurde die identifizierte generic zugewiesen von Linux.BtcMine.174. Der Trojan selbst ist eine Sammlung von Befehlen in einer Schale enthaltenen Skript mit über 1,000 Zeilen von Code. Die Infektionen beginnen mit einem Skript, das für einen Standort auf der lokalen Festplatte durchsucht, die Schreibrechte hat. Dort wird er sich selbst kopieren und den Rest der Module starten.
Es wird unter Verwendung von zwei Exploits verbreitet:
- CVE-2016-5195 - Dies ist die berühmte Sammlung von Exploits bekannt als “schmutzige Kuh” die Ziele Linux und Android-Geräte. Es wurde in dem von Google festgelegt Dezember 2016 Update Bulletin. Dies ist ein Kernel Verwundbarkeit, die den Vorteil einer Race-Bedingung nimmt die bösartigen Code ermöglicht Schreibzugriff zu erlangen Read-Only Memory. Ungepatchte Systeme können leicht mit dem Virus Code beeinträchtigt werden.
- CVE-2013-2094 - Dieser Fehler nutzt eine Schwachstelle im Linux-Kernel, die lokale Benutzer-Rechte erlangen kann an dem System.
Sobald beeinflusst die Malware-Code wird gesetzt, sich als lokale Daemon, der den Download der Infektion Motor auslösen. Der Linux-Trojaner mit der Einführung des integrierten Konfigurations mit jeder Kampagne zugeordnet gehen. Das bedeutet, dass jeder einzelne Angriff könnte ein anderes Verhalten erzeugen und die daraus resultierenden Auswirkungen. Die erfassten Proben beginnen, so weit ein Kryptowährung Bergbau Beispiel. Bevor sich Start wird es den Speicher und Festplatteninhalte für andere Bergleute scannen. Dies wird getan, um die Einkommen für den Hacker-Betreiber zu maximieren. Die aktuelle Kampagne lädt einen Monero-basierten miner.
Der Linux.BtcMine.174 Hybrid Linux Trojan weiter anhält
Nachdem die Bedrohung auf das Zielsystem implantiert wurde haben die erworbenen Linux.BtcMine.174 Proben gefunden worden, rief eine andere Malware zum Download der Bill Gates Trojan. Dies ist eine anspruchsvolle DDoS (Distributed-Denial-of-Service) Virus, das die Kontrolle über die infizierten Rechner zu übernehmen auch der Hacker-Betreiber erlaubt.
ein dazugehöriges Sicherheit Bypass wie gut gemacht ist - es wird Betrug für Prozesse im Speicher ausgeführt wird, zugeordnet sind Linux-basierte Anti-Virus-Produkte. Wenn eine solche gefunden werden, werden sie sofort getötet werden, nicht entdeckt zu werden. Nach es der Trojaner wird gesetzt, sich als Daemon und installieren ein Rootkit Modul. Es superseeds die Trojan-Operationen durch die Möglichkeit, vom Benutzer eingegebene Passwörter zu stehlen und sie im System tief verstecken.
Die Analyse der Linux.BtcMine.174 zeigt, dass eine separate Funktion ist, die installiert wird Ernte Anmeldeinformationen, in diesem speziellen Fall eine Liste aller Remote-Servern und Anmeldeinformationen. Dies ermöglicht es der Hacker-Betreiber die erforderlichen Zeichenfolge kapern und in der Lage zu diesen Maschinen verbinden. Dies ermöglicht eine automatisierte Infektion ganzer Netzwerke von Computern.
Es wird angenommen, dass Dieser Mechanismus ist der Hauptverteilerkanal. Aktive Infektionen können schwierig sein, zu erkennen, wie sie von den Benutzern nicht anders als normale Remote-Verbindungen initiiert werden. Die Prüfsummen für die erfassten Trojaner-Dateien wurden veröffentlicht auf GitHub. Auf diese Weise können Systemadministratoren ihre Systeme scannen und identifizieren, wenn sie infiziert wurden.