Un nuovo rapporto di sicurezza rivela che una pericolosa nuova Linux Trojan è stato trovato per infettare i computer di tutto il mondo. Si è classificato come una minaccia ibrido in quanto comprende scenari di attacco di diversi tipi di infezioni. Gli attacchi si trovano a sfruttare due vulnerabilità: CVE-2016-5195 e CVE-2013-2094.
Il Linux.BtcMine.174 Trojan Sfrutta Sia CVE-2013-2094 e CVE-2016-5195
Linux Trojans continuano ad emergere in quanto sono stati trovati per essere particolarmente efficace contro le stazioni di lavoro di massa-implementato e server su reti mirati. Un'infezione particolarmente pericoloso è stato recentemente segnalato per infettare le reti in tutto il mondo.. E 'stato assegnato il generico identificato di Linux.BtcMine.174. Il Trojan si è un insieme di comandi contenuti in uno script di shell contenente oltre 1,000 linee di codice. Le infezioni iniziano con uno script che cerca una posizione sul disco rigido locale che ha i permessi di scrittura. Ci sarà copiare se stesso e lanciare il resto dei moduli.
Si sta diffondendo utilizzando due exploit:
- CVE-2016-5195 - Questa è la famosa collezione di exploit noti come “Mucca sporca” che si rivolge Linux e dispositivi Android. E 'stato fissato da Google nel [wplinkpreview url =”https://sensorstechforum.com/cve-2016-5195-plenty-flaws-fixed-androids-december-bulletin/”]Dicembre 2016 aggiornamento bollettino. Si tratta di una vulnerabilità del kernel che si avvale di una condizione di competizione che permette codice dannoso per ottenere l'accesso in scrittura a memoria di sola lettura. i sistemi privi di patch possono essere facilmente compromessi con il codice del virus.
- CVE-2013-2094 - Questo bug sfrutta una vulnerabilità nel kernel di Linux che permette agli utenti locali di ottenere i privilegi di sistema.
Una volta impattato il codice malware si imposterà come demone locale che farà scattare il download del motore infezione. Il Linux Trojan procederà con il lancio della configurazione built-in associato ad ogni campagna. Questo significa che ogni singolo attacco potrebbe produrre un comportamento diverso e conseguente impatto. I campioni acquisite finora avviare una criptovaluta mineraria esempio. Prima di lanciare sé esplorerà la memoria e il contenuto del disco rigido per altri minatori. Questo viene fatto al fine di massimizzare la generazione di reddito per gli operatori degli hacker. La campagna corrente carica un minatore Monero-based.
L'ibrido Linux.BtcMine.174 Linux Trojan continua Ulteriori
Dopo la minaccia è stato impiantato sul sistema di destinazione i campioni Linux.BtcMine.174 acquisiti sono stati trovati per scaricare il malware un'altra chiamata Bill Gates Trojan. Si tratta di un sofisticato DDoS (Distributed Denial of Service) virus che permette anche agli operatori degli hacker di prendere il controllo delle host infettati.
un associato by-pass di sicurezza è fatto così - sarà truffa per i processi in esecuzione in memoria che sono associati con Linux-based prodotti anti-virus. Se tale si trovano che stanno per essere uccisi immediatamente per evitare il rilevamento. In seguito è il Trojan si imposterà come un demone e installare un rootkit modulo. E superseeds operazioni del Trojan essendo in grado di rubare le password immessi dall'utente e nascondersi in profondità nel sistema.
L'analisi di Linux.BtcMine.174 mostra che è installata una funzione separata che sarà informazioni relative alle credenziali di raccolta, in questo caso particolare un elenco di tutti i server remoti e le credenziali. Questo permette agli operatori degli hacker di dirottare le corde necessarie ed essere in grado di connettersi a queste macchine. Questo permette di infezione automatica di intere reti di computer.
Si crede che questo meccanismo è il canale di distribuzione principale. infezioni attive possono essere difficili da individuare in quanto non sono diversi rispetto ai normali connessioni remote avviate dagli utenti. I checksum per i file Trojan rilevati sono stati pubblicati su GitHub. Ciò consente agli amministratori di sistema di eseguire la scansione dei loro sistemi e identificare se sono stati infettati.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: