Skidmap è un nuovo malware cryptomining (cryptominer) che utilizza i moduli del kernel caricabili (LKM) di nascosto in sistemi Linux. Il malware è in grado di nascondere le sue attività dannose per la visualizzazione di statistiche di traffico di rete falso.
Secondo i ricercatori Trend Micro, che inciampato su Skidmap, il malware mostra la crescente complessità dei recenti minacce criptovaluta-minerarie. Ciò che rende Skidmap risaltare è il modo in cui carica LKM malevoli per nascondere le sue operazioni minerarie crypto. I LKM sovrascrivono o modificano parti del kernel, che rende il malware difficile da pulire. Per di più, Skidmap utilizza anche diversi meccanismi di infezione ed è anche in grado di host reinfettando che sono stati ripuliti.
Skidmap criptovaluta Miner: Alcuni dettagli tecnici
In termini di installazione, questi sono i passaggi malware segue:
1. Il malware si installa tramite crontab (elenco di comandi che vengono eseguiti a intervalli regolari) sui sistemi mirati;
2. Il pm.sh script di installazione scarica il principale “pc” binario (rilevato da Trend Micro come Trojan.Linux.SKIDMAP.UWEJX).
Una volta che il binario è eseguito, le impostazioni di sicurezza del sistema in maniera significativa diminuzione. Inoltre, il malware Skidmap assicura anche un modo per ottenere l'accesso backdoor alla macchina bersaglio avendo il binario aggiungere la chiave pubblica dei suoi gestori al file authorized_keys, quali contiene chiavi necessarie per l'autenticazione, Trend Micro segnalati.
Skidmap sostituisce anche il modulo pam_unix.so, che è responsabile per l'autenticazione standard di Unix, con una versione dannoso che accetta una password specifica per tutti gli utenti. In questo modo il malware consente attori minaccia per accedere come qualsiasi utente nella macchina.
Il binario è inoltre progettato per eliminare la parte minatore in conformità con la distribuzione presenti sul sistema infetto - Debian Linux, CentOS,o Red Hat Enterprise Linux.
Oltre al minatore criptovaluta, Skidmap scende anche i seguenti componenti:
- Un falso “rm” binario - Uno dei componenti contenuti nel file tar è un falso binario “rm” che andrà a sostituire l'originale (rm viene normalmente utilizzato come comando per l'eliminazione di file). La routine maligni di questo file imposta un job cron dannoso che scaricare ed eseguire un file. Non sarà sempre osservato Questa routine, tuttavia, come sarebbe eseguita solo casualmente.
- kaudited - Un file installato come / usr / bin / kaudited. Questo binario scenderà e installare più moduli del kernel (LKM) sulla macchina infetta. Per garantire che la macchina infetta non vada in crash a causa dei rootkit kernel-mode, utilizza diversi moduli per specifiche versioni del kernel. Il binario kaudited scende anche una componente di sorveglianza che controllerà il file e nel processo criptovaluta minatore.
- iproute - Questo modulo aggancia la chiamata di sistema, getdents (normalmente utilizzato per leggere il contenuto di una directory) al fine di nascondere i file specifici.
- netlink - Questo rootkit simula le statistiche di traffico di rete (che coinvolge in particolare il traffico determinati indirizzi IP e porte) e statistiche relativi alla CPU (nascondere la “pamdicks” carico di processo e CPU). Ciò renderebbe il carico della CPU della macchina infetta appaiono sempre basso. Questo rischia di far sembrare come se nulla è sbagliato per l'utente (come elevato utilizzo della CPU è una bandiera rossa malware criptovaluta-mining).
Insomma, Skidmap è abbastanza avanzata di malware criptovaluta che contiene componenti per aiutarlo a rimanere inosservato. Il suo aspetto dimostra che i minatori potrebbero non essere come prevalente ma ancora pongono grandi rischi per gli utenti.