Un nuevo informe revela que la seguridad de un peligroso nuevo troyano Linux se ha encontrado para infectar los ordenadores de todo el mundo. Se clasifica como una amenaza híbrida, ya que abarca escenarios de ataque de varios tipos de infecciones. Los ataques se encuentran para tomar ventaja de dos vulnerabilidades: CVE-2016-5195 y CVE-2013-2094.
El Linux.BtcMine.174 Troya Explota Tanto CVE-2013-2094 y CVE-desde 2016 hasta 5195
Linux troyanos siguen surgiendo a medida que se han encontrado para ser particularmente eficaz contra las estaciones de trabajo para ser distribuido y servidores de redes específicas. Una infección particularmente peligroso Recientemente se ha informado de infectar las redes en todo el mundo.. Se le ha asignado el genérica identificada de Linux.BtcMine.174. El troyano en sí es una colección de comandos contenida dentro de una secuencia de comandos shell que contiene más de 1,000 líneas de código. Las infecciones comienzan con un guión que busca una ubicación en el disco duro local que tiene permisos de escritura. No se copia a sí mismo y lanzar el resto de los módulos.
Que está siendo difundido mediante el uso de dos exploits:
- CVE-2016-5195 - Esta es la famosa colección de exploits conocidos como “Vaca sucia” que se enfoca en Linux y dispositivos Android. Se fija por Google en la [wplinkpreview url =”https://sensorstechforum.com/cve-2016-5195-plenty-flaws-fixed-androids-december-bulletin/”]Diciembre 2016 actualización del boletín. Se trata de una vulnerabilidad del núcleo que se aprovecha de una condición de carrera que permite que el código malintencionado obtener acceso de escritura en memoria de sólo lectura. sistemas sin parches pueden ser fácilmente comprometidos con el código del virus.
- CVE-2013-2094 - Este error se aprovecha de una vulnerabilidad en el kernel de Linux que permite a usuarios locales conseguir privilegios al sistema.
Una vez impactado el código malicioso se establecerá a sí mismo como un daemon local que dará lugar a la descarga del motor de la infección. El troyano Linux va a proceder a la puesta en marcha de la configuración incorporado asociado con cada campaña. Esto significa que cada ataque podría producir un comportamiento diferente y el impacto resultante. Las muestras captadas hasta el momento comienzan una la minería criptomoneda ejemplo. Antes de lanzar en sí se explorará la memoria y el contenido del disco duro para otros mineros. Esto se hace con el fin de maximizar la generación de ingresos para los operadores de hackers. La actual campaña carga una minera con sede en Monero.
El híbrido Linux.BtcMine.174 Linux Troya continúa más lejos
Después de que la amenaza ha sido implantado en el sistema de destino Linux.BtcMine.174 las muestras adquiridas se han encontrado para descargar otro malware llamado la Bill Gates de Troya. Se trata de un sofisticado DDoS (de denegación de servicio distribuido) virus que también permite a los operadores de piratas informáticos tomen el control de los huéspedes infectados.
un asociado omitir la seguridad de está hecho tan bien - que estafa a los procesos que se ejecutan en la memoria que se asocian con Linux basada en productos anti-virus. Si se encuentran tales que van a morir al instante para evitar ser detectados. Después de que el troyano fijado como un demonio e instalar una rootkit módulo. Se superseeds las operaciones de la Troya por ser capaz de robar contraseñas introducidas por el usuario y ocultarse profundamente en el sistema.
El análisis de Linux.BtcMine.174 muestra que una función separada está instalado que se información de credenciales de cosecha, en este caso particular una lista de todos los servidores remotos y credenciales. Esto permite a los operadores de hackers secuestrar las cuerdas necesarias y serán capaces de conectarse a estas máquinas. Esto permite que la infección automatizado de redes enteras de ordenadores.
Se cree que este mecanismo es el canal de distribución principal. infecciones activas pueden ser difíciles de detectar, ya que no son diferentes de las conexiones remotas regulares iniciadas por los usuarios. Las sumas de comprobación de los archivos troyano detectado han sido publicados en GitHub. Esto permite a los administradores del sistema para escanear sus sistemas e identificar si han sido infectados.