>> サイバーニュース > スキッドマップ: 新しい暗号通貨マイナーはLinuxユーザーをターゲットにしています
サイバーニュース

スキッドマップ: 新しい暗号通貨マイナーはLinuxユーザーをターゲットにしています

  |  Last Update:  |  0 コメントコメント  

CryptocurrencyMiners画像

スキッドマップは新しい暗号マイニングマルウェアです (クリプトマイナー) ロード可能なカーネルモジュールを使用する (LKM) Linuxシステムに忍び込む. マルウェアは、偽のネットワークトラフィック統計を表示することにより、悪意のあるアクティビティを隠すことができます.




トレンドマイクロの研究者によると, スキッドマップに出くわした人, マルウェアは、最近の暗号通貨マイニングの脅威の複雑さを増しています. スキッドマップを際立たせるのは、悪意のあるLKMをロードして暗号マイニング操作を隠す方法です. LKMは、カーネルの一部を上書きまたは変更します, これにより、マルウェアの駆除が困難になります. その上に, スキッドマップはまた、いくつかの感染メカニズムを利用しており、クリーンアップされたホストに再感染することもできます.

スキッドマップ暗号通貨マイナー: いくつかの技術的な詳細

インストールに関して, これらはマルウェアが従う手順です:

1. マルウェアはcrontabを介して自分自身をインストールします (定期的に実行されるコマンドのリスト) ターゲットシステムで;
2. インストールスクリプトpm.shは、メインのバイナリ「pc」をダウンロードします (トレンドマイクロによってTrojan.Linux.SKIDMAP.UWEJXとして検出されました).

バイナリが実行されると, システムのセキュリティ設定が大幅に低下します. さらに, また、Skidmapマルウェアは、バイナリにハンドラーの公開鍵をauthorized_keysファイルに追加させることにより、ターゲットマシンへのバックドアアクセスを取得する方法を保証します。, 認証に必要なキーが含まれています, トレンドマイクロ 報告.

スキッドマップは、pam_unix.soモジュールも置き換えます, これは標準のUnix認証を担当します, すべてのユーザーの特定のパスワードを受け入れる悪意のあるバージョン. このようにして、マルウェアは攻撃者がマシン内の任意のユーザーとしてログインできるようにします.

バイナリは、感染したシステム(Debian Linux)に存在するディストリビューションに従ってマイナー部分を削除するようにも設計されています。, CentOS,またはRedHatEnterprise Linux.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/godlua-backdoor-cve-2019-3396/”] GodluaバックドアがCVE-2019-3396を使用してLinuxユーザーを標的

暗号通貨マイナーに加えて, スキッドマップは、次のコンポーネントも削除します:

  • 偽の「rm」バイナリ — tarファイルに含まれるコンポーネントの1つは、元のファイルを置き換える偽の「rm」バイナリです。 (rmは通常、ファイルを削除するためのコマンドとして使用されます). このファイルの悪意のあるルーチンは、ファイルをダウンロードして実行する悪意のあるcronジョブを設定します. このルーチンは常に守られるとは限りません, でも, ランダムにしか実行されないため.
  • kaudited — / usr / bin/kauditedとしてインストールされたファイル. このバイナリは、いくつかのロード可能なカーネルモジュールをドロップしてインストールします (LKM) 感染したマシンで. カーネルモードのルートキットが原因で感染したマシンがクラッシュしないようにするため, 特定のカーネルバージョンに異なるモジュールを使用します. kauditedバイナリは、暗号通貨マイナーファイルとプロセスを監視するウォッチドッグコンポーネントもドロップします.
  • iproute —このモジュールはシステムコールをフックします, getdents (通常、ディレクトリの内容を読み取るために使用されます) 特定のファイルを非表示にするため.
  • ネットリンク —このルートキットはネットワークトラフィック統計を偽造します (具体的には、特定のIPアドレスとポートを含むトラフィック) およびCPU関連の統計 (を隠す “pamdicks” プロセスとCPU負荷). これにより、感染したマシンのCPU負荷が常に低く見えるようになります. これにより、ユーザーには何も問題がないように見える可能性があります (CPU使用率が高いことは、暗号通貨マイニングマルウェアの危険信号であるため).

結論は, スキッドマップはかなり高度な暗号通貨マルウェアであり、検出されないようにするためのコンポーネントが含まれています. その外観は、鉱夫はそれほど普及していないかもしれないが、それでもユーザーに大きなリスクをもたらすことを示しています.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. 上 15 Linuxのセキュリティの質問あなたが持っていたことを知らなかった 初心者の Linux 管理者とユーザーは、たとえ...
  2. で最高のLinuxサーバーディストリビューション 2017 Gnu/Linux は、主要なサーバー オペレーティング システムの 1 つです。.
  3. のトップセキュリティとプライバシーLinuxディストリビューション 2019 で設計された多くの専門的な Linux ディストリビューションがあります。.
  4. The 10 Linuxのセキュリティを向上させるための最良の方法 このブログ投稿は、あなたを助けるために作成されています...
  5. Coin Miner ウイルス – 駆除方法 [コインマイナーマルウェア] コインマイナーウイルスに感染しました? このガイドを読む! これ...
  6. KORKERDS Miner Targets Linux, ルートキットをインストールして自分自身を非表示にする 高い利益の可能性は別として, cryptomining malware is favored...
  7. SambaCryCVEに接続されたCowerSnailLinuxウイルス-2017-7494 Security researchers detected the CowerSnail Linux virus in an ongoing...
  8. Androidマイナーウイルス (コインマイナー) –あなたの携帯電話からそれを削除する方法 この記事は、説明を助けるために作成されました...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します