Skidmap est un nouveau malware cryptomining (cryptominer) qui utilise des modules de noyau chargeables (LKM) de se faufiler dans les systèmes Linux. Le logiciel malveillant est capable de cacher ses activités malveillantes en affichant le trafic réseau fausse stats.
Selon les chercheurs de Trend Micro, qui a trébuché sur Skidmap, le logiciel malveillant présente la complexité croissante des menaces récentes mines-crypto-monnaie. Ce qui fait Skidmap se démarquer est la façon dont il charge LKM malicieuses afin de dissimuler ses opérations minières de Crypto. Les LKM remplacent ou modifient les parties du noyau, ce qui rend le malware difficile à nettoyer. En plus de cela, Skidmap utilise également plusieurs mécanismes d'infection et est également capable d'hôtes réinfection qui ont été nettoyés.
Skidmap Miner crypto-monnaie: Quelques détails techniques
En termes d'installation, ce sont les étapes les logiciels malveillants suit:
1. Le malware s'installe via crontab (liste des commandes qui sont exécutées sur un horaire régulier) sur les systèmes ciblés;
2. Le script d'installation pm.sh télécharge le principal binaire « pc » (détecté par Trend Micro comme Trojan.Linux.SKIDMAP.UWEJX).
Une fois que le binaire est exécuté, Les paramètres de sécurité du système diminuent considérablement. En outre, les logiciels malveillants Skidmap assure également un moyen d'accéder à la porte dérobée machine ciblée en ayant le binaire ajouter la clé publique de ses gestionnaires au fichier authorized_keys, qui contient les clés nécessaires pour l'authentification, Trend Micro signalé.
Skidmap remplace également le module pam_unix.so, qui est responsable de l'authentification Unix standard, avec une version malicieuse qui accepte un mot de passe spécifique pour tous les utilisateurs. De cette façon, les logiciels malveillants permet aux acteurs de la menace de se connecter en tant qu'utilisateur dans la machine.
Le binaire est également conçu pour laisser tomber la partie de mineur conformément à la présente distribution sur le système infecté - Debian Linux, CentOS,ou Red Hat Enterprise Linux.
En plus du mineur crypto-monnaie, Skidmap diminue également les composants suivants:
- Un faux « rm » binaire - L'un des composants contenus dans le fichier tar est un faux binaire « rm » qui remplacera l'original (rm est normalement utilisé comme commande pour la suppression de fichiers). La routine malveillant de ce fichier met en place une tâche cron malveillant qui télécharger et exécuter un fichier. Cette routine ne sera pas toujours observée, cependant, car il ne serait effectué au hasard.
- kaudited - Un fichier installé / usr / bin / kaudited. Ce binaire chutera et installer plusieurs modules du noyau chargeables (LKM) sur la machine infectée. Pour faire en sorte que la machine infectée ne plantera pas en raison des rootkits en mode noyau, il utilise différents modules pour les versions spécifiques du noyau. Les gouttes aussi binaire kaudited un composant de chien de garde qui surveillera le fichier de mineur et le processus crypto-monnaie.
- iproute - Ce module crochets l'appel système, getdents (normalement utilisé pour lire le contenu d'un répertoire) afin de cacher des fichiers spécifiques.
- NetLink - Ce rootkit truque les statistiques du trafic réseau (en particulier le trafic impliquant certaines adresses IP et les ports) et statistiques relatifs au CPU (Cache le “pamdicks” la charge de traitement et l'unité centrale). Cela rendrait la charge CPU de la machine infectée apparaît toujours faible. Cela est susceptible de le faire apparaître comme si rien ne va pas à l'utilisateur (comme une utilisation élevée du processeur est un drapeau rouge des logiciels malveillants crypto-monnaie-mining).
En conclusion, Skidmap est un malware assez avancé qui crypto-monnaie contient des composants pour l'aider ne sont pas détectés. Son apparence montre que les mineurs ne peuvent pas être aussi répandue mais posent de grands risques pour les utilisateurs.