Un nouveau rapport de sécurité révèle qui a été trouvé un nouveau cheval de Troie Linux dangereux pour infecter les ordinateurs dans le monde entier. Il est classé comme une menace hybride car elle englobe des scénarios d'attaque de plusieurs types d'infections. Les attaques se trouvent à tirer profit des deux vulnérabilités: CVE-2016-5195 et CVE-2013-2094.
Le Linux.BtcMine.174 Exploits deux CVE Trojan-2013-2094 et CVE-2016-5195
Linux chevaux de Troie continuent à émerger comme ils l'ont été révélés particulièrement efficaces contre les postes de travail déployés en masse et serveurs sur les réseaux ciblés. Une infection particulièrement dangereuse a récemment été signalé à infecter les réseaux dans le monde entier.. Il a été attribué le générique identifiée Linux.BtcMine.174. Le cheval de Troie est lui-même un ensemble de commandes contenues dans un script contenant plus 1,000 lignes de code. Les infections commencent par un script qui recherche un emplacement sur le disque dur local qui dispose des autorisations d'écriture. Là, il se copie et lancer le reste des modules.
Il se propage en utilisant deux exploits:
- CVE-2016-5195 - Ceci est la célèbre collection d'exploits connus sous le nom “vache sale” qui cible les périphériques Linux et Android. Il a été fixé par Google dans le [wplinkpreview url =”https://sensorstechforum.com/cve-2016-5195-plenty-flaws-fixed-androids-december-bulletin/”]Décembre 2016 bulletin de mise à jour. Ceci est une vulnérabilité du noyau qui profite d'une condition qui permet au code malveillant d'obtenir un accès en écriture à la mémoire en lecture seule. Les systèmes non corrigés peuvent facilement être compromis avec le code du virus.
- CVE-2013-2094 - Ce bogue exploite une vulnérabilité dans le noyau Linux qui permet aux utilisateurs locaux d'obtenir des privilèges au système.
Une fois impacté le code malveillant se configure comme un démon local qui déclenchera le téléchargement du moteur d'infection. Le cheval de Troie Linux procédera au lancement de la configuration intégrée associée à chaque campagne. Cela signifie que chaque attaque peut produire un comportement différent et l'impact résultant. Les échantillons capturés commencent jusqu'à présent une l'exploitation minière de crypto-monnaie exemple. Avant de se lancer, il va scanner la mémoire et le contenu du disque dur pour d'autres mineurs. Ceci est fait afin de maximiser la génération de revenus pour les opérateurs de pirates informatiques. La campagne actuelle charge un mineur à base Monero.
L'hybride Linux.BtcMine.174 Linux Troie continue plus
Après la menace a été implantée sur le système cible ont été trouvés les échantillons Linux.BtcMine.174 acquis pour télécharger un autre logiciel malveillant appelé Bill Gates cheval de Troie. Ceci est un DDoS sophistiqué (déni de service distribué) virus qui permet également aux opérateurs de pirates de prendre le contrôle des hôtes infectés.
un associé by-pass de sécurité est fait aussi bien - il escroquerie pour les processus en cours d'exécution dans la mémoire qui sont associés à Linux basée produits anti-virus. Si tel se trouvent, ils vont être instantanément tués pour éviter la détection. À la suite de ce cheval de Troie se configure comme un démon et d'installer un rootkit module. Il superseeds en étant capable de voler des mots de passe entré par l'utilisateur et se cacher profondément dans le système des opérations du cheval de Troie.
L'analyse des Linux.BtcMine.174 montre qu'une fonction distincte est en place qui les informations d'habilitation récolte, dans ce cas particulier une liste de tous les serveurs distants et les informations d'identification. Cela permet aux opérateurs de pirates de détourner les cordes nécessaires et être en mesure de se connecter à ces machines. Cela permet une infection automatisée des réseaux entiers d'ordinateurs.
On pense que ce mécanisme est le principal canal de distribution. Les infections actives peuvent être difficiles à repérer car ils ne sont pas différents de connexions à distance régulières initiées par les utilisateurs. Les checksums pour les fichiers détectés ont été de Troie publiés sur GitHub. Cela permet aux administrateurs système de scanner leurs systèmes et d'identifier si elles ont été infectées.