新しいセキュリティレポートは、危険な新しいLinuxトロイの木馬が世界中のコンピュータに感染することが判明したことを明らかにしています. いくつかのタイプの感染の攻撃シナリオを含むため、ハイブリッド脅威として分類されます. 攻撃は2つの脆弱性を利用していることが判明しています: CVE-2016-5195およびCVE-2013-2094.
Linux.BtcMine.174トロイの木馬は、CVE-2013-2094とCVE-2016-5195の両方を悪用します
Linuxトロイの木馬は、標的となるネットワーク上に大量に配備されたワークステーションやサーバーに対して特に効果的であることがわかっているため、出現し続けています。. 最近、特に危険な感染が世界中のネットワークに感染することが報告されています。. 識別されたジェネリックが割り当てられています Linux.BtcMine.174. トロイの木馬自体は、以下を含むシェルスクリプト内に含まれるコマンドのコレクションです。 1,000 コード行. 感染は、書き込み権限を持つローカルハードドライブ上の場所を検索するスクリプトから始まります. そこで、それ自体をコピーして、残りのモジュールを起動します.
2つのエクスプロイトを使用して拡散されています:
- CVE-2016-5195 —これは、として知られているエクスプロイトの有名なコレクションです。 “汚い牛” LinuxおよびAndroidデバイスを対象としています. それはグーグルによって修正されました [wplinkpreview url =”https://Sensorstechforum.com/cve-2016-5195-plenty-flaws-fixed-androids-december-bulletin/”]12月 2016 速報を更新. これは、悪意のあるコードが読み取り専用メモリへの書き込みアクセスを取得できる競合状態を利用するカーネルの脆弱性です。. パッチが適用されていないシステムは、ウイルスコードによって簡単に危険にさらされる可能性があります.
- CVE-2013-2094 —このバグは、ローカルユーザーがシステムへの特権を取得できるようにするLinuxカーネルの脆弱性を悪用します.
影響を受けると、マルウェアコードは、感染エンジンのダウンロードをトリガーするローカルデーモンとして設定されます。. Linux Trojanは、各キャンペーンに関連付けられた組み込み構成の起動を続行します. これは、すべての攻撃が異なる動作を引き起こし、結果として影響を与える可能性があることを意味します. これまでにキャプチャされたサンプルは、 暗号通貨マイニング 実例. それ自体を起動する前に、他のマイナーのためにメモリとハードドライブの内容をスキャンします. これは、ハッカーオペレーターの収入を最大化するために行われます。. 現在のキャンペーンはMoneroベースのマイナーをロードします.
Linux.BtcMine.174ハイブリッドLinuxトロイの木馬はさらに続く
脅威がターゲットシステムに埋め込まれた後、取得したLinux.BtcMine.174サンプルが、 ビルゲイツトロイの木馬. これは洗練されたDDoSです (分散型サービス拒否) ハッカーのオペレーターが感染したホストの制御を引き継ぐこともできるウイルス.
関連する セキュリティバイパス Linuxベースのアンチウイルス製品に関連するメモリ内で実行されているプロセスを詐欺します. そのようなものが見つかった場合、それらは検出を回避するために即座に殺されます. その後、トロイの木馬は自分自身をデーモンとして設定し、 ルートキット モジュール. ユーザーが入力したパスワードを盗み出し、システムの奥深くに隠れることができるため、トロイの木馬の操作を監視します。.
Linux.BtcMine.174の分析は、別の関数がインストールされていることを示しています。 資格情報を収集する, この特定のケースでは、すべてのリモートサーバーと資格情報のリスト. これにより、ハッカーオペレーターは必要な文字列をハイジャックし、これらのマシンに接続できるようになります。. これにより、コンピュータのネットワーク全体の自動感染が可能になります.
信じられている このメカニズムが主な流通チャネルです. アクティブな感染は、ユーザーが開始する通常のリモート接続と同じであるため、見つけるのが難しい場合があります. 検出されたトロイの木馬ファイルのチェックサムが公開されました GitHubで. これにより、システム管理者はシステムをスキャンして、感染しているかどうかを特定できます。.