Skidmap ist eine neue cryptomining Malware (cryptominer) dass verwendet ladbare Kernel-Module (LKMs) zu schleichen in Linux-Systemen. Die Malware ist in der Lage seine bösartige Aktivitäten versteckt durch gefälschte Netzwerk-Traffic-Statistik Anzeige.
Laut Trend Micro Forscher, die eher zufällig auf Skidmap, die Malware zeigt die zunehmende Komplexität der jüngsten Kryptowährung Bergbau Bedrohungen. Was macht Skidmap stehen, ist die Art und Weise es bösartige LKMs lädt seine Krypto Bergbau zu verbergen. Die LKMs überschreiben oder Teile des Kernels ändern, Das macht den Malware schwer zu reinigen. Hinzu kommt, dass, Skidmap nutzt auch mehrere Infektionsmechanismen und ist auch in der Lage wieder zu infizieren Hosts, die gereinigt wurden,.
Skidmap Kryptowährung Miner: Technische Details
In Bezug auf die Installation, Dies sind die Schritte die Malware folgt:
1. Die Malware installiert sich über crontab (Liste der Befehle, die in regelmäßigen Abständen ausgeführt werden) auf gezielte Systeme;
2. Das Installationsskript pm.sh lädt die Haupt binären „pc“ (von Trend Micro als Trojan.Linux.SKIDMAP.UWEJX erkannt).
Sobald die binäre ausgeführt wird, die Sicherheitseinstellungen des Systems erheblich verringern. Weiter, die Skidmap Malware sorgt auch für eine Art und Weise, indem die binäre fügen Sie den öffentlichen Schlüssel der Handler die Datei authorized_keys Backdoor-Zugriff auf den Zielcomputer zu gewinnen, Welche enthält Schlüssel für die Authentifizierung benötigt, Trend Micro berichtet.
Skidmap ersetzt auch die pam_unix.so Modul, die für Standard-Unix-Authentifizierung verantwortlich, mit einer bösartigen Version, die ein bestimmtes Passwort für alle Benutzer akzeptiert. Auf diese Weise ermöglicht die Malware-Bedrohung Akteure wie jeder Benutzer in der Maschine anmelden.
Debian Linux - Die binär ist auch den Bergmann Teil in Übereinstimmung mit der Verteilung, die auf dem infizierten System Stürze, CentOS,oder Red Hat Enterprise Linux.
Neben dem Kryptowährung Bergmann, Skidmap fällt auch die folgenden Komponenten:
- Ein gefälscht „rm“ binary - Eine der Komponenten in der TAR-Datei enthalten ist, ist eine Fälschung „rm“ binary, die das Original ersetzt (rm wird normalerweise als Befehl verwendet, um Dateien zum Löschen). Die bösartige Routine dieser Datei setzt einen böswilligen Cron-Job auf dem Download würde und eine Datei ausführen. Diese Routine wird nicht immer eingehalten werden, jedoch, da es nur zufällig durchgeführt werden würde,.
- kaudited - Eine Datei installiert, wie / usr / bin / kaudited. Diese binäre wird fallen und mehrere ladbare Kernel-Module installieren (LKMs) auf dem infizierten Rechner. Um sicherzustellen, dass die infizierte Maschine wird nicht abstürzen aufgrund der Kernel-Mode-Rootkits, es nutzt verschiedene Module für bestimmte Kernel-Versionen. Die kaudited binär fällt auch eine Watchdog-Komponente, die die Kryptowährung Bergmann-Datei und Prozess überwacht.
- iproute - Dieses Modul hakt den Systemaufruf, getdents (normalerweise verwendet, um den Inhalt eines Verzeichnisses zu lesen) um bestimmte Dateien zu verstecken.
- netlink - Dieses Rootkit täuscht den Netzwerkverkehr (insbesondere Verkehr, der bestimmten IP-Adressen und Ports) und CPU-bezogenen Statistiken (Verstecke das “pamdicks” Prozess- und CPU-Last). Dies würde die CPU-Last der infizierten Maschine macht immer erscheint niedrig. Dies ist wahrscheinlich erscheinen zu lassen, als ob nichts für den Benutzer nicht stimmt (wie hohe CPU-Auslastung ist eine rote Fahne von Kryptowährung-Bergbau Malware).
Abschließend, Skidmap ist ein ziemlich weit fortgeschritten Kryptowährung Malware, die Komponenten enthält, um ihm zu helfen unentdeckt bleiben. Sein Aussehen zeigt, dass Bergleute nicht so weit verbreitet sind, aber immer noch stellen große Risiken für die Nutzer.