Sucuriの研究者は、「Webサーバー上で実行されていることを発見した悪意のあるプロセス」に関して誰かが彼らに連絡したと報告しました。. 問題のプロセスはCPUにかなり重いものでした, バックグラウンドで実行されているcryptominerプロセスを指しています.
その間 彼らの分析, 研究者は、cryptominerがcr2.shとして知られるBashスクリプトを介してダウンロードされたことを確認できました。, 未知の方法でサーバーにドロップされます.
bashファイルが実行された後に何が起こるか? クリプトマイニングに関連するプロセス名のリストからプロセスを強制終了するように設定されています, xmrigやcryptonightなど, とりわけ.
次に、悪意のあるプロセスがすでに実行されているかどうかを確認し、別のサーバーでホストされているPHPファイルにリクエストを送信します. このファイルは、悪意のあるプロセスによって実行される実際のクリプトマイナーコンテンツを取得するIPアドレスを出力します.
cr2.shbashスクリプトの詳細
cr2.shスクリプトは、OS環境が 32- または暗号化ペイロードをダウンロードするための64ビット. これを行うには、 カール また wget / tmp/phpとしてのコマンド, マイナーの構成ファイルが同じサーバーからダウンロードされている間, 研究者は説明した.
これで、スクリプトがWebサーバーにダウンロードされ、nohupを使用してプロセスを生成するために必要なすべてのコンテンツがダウンロードされました。, これにより、ユーザーがbashセッションを終了したかどうかに関係なく、プロセスを実行し続けることができます.
次の段階で, Linuxホストのメモリにロードされたマイナープロセスは、ペイロードとその構成ファイルを削除します. これは、その存在を保護および隠すために行われます.
マルウェアは、毎分実行するように設定されたcronジョブを作成することにより、永続性を実現することもできます。. 加えて, cr2.shBashスクリプトをチェックします, スクリプトが欠落している場合, 再ダウンロードしてもう一度実行します:
誰かがプロセスを検出し、最初のcr2.shファイルと一緒にそれを殺した場合に備えて, ファイルはcronジョブを作成します (すでに存在しない限り). このcronは毎分実行されるようにスケジュールされています, 欠落している場合は、cr2.shファイルを再ダウンロードします, 悪意のあるbashスクリプトを実行します.
この攻撃の対象となるのはWebサーバーだけでなく、32/64ビットLinuxシステムのデスクトップインストールでもあることに注意してください。, およびその他のバリアント, Windowsインストールに感染するために展開.