Sucuri onderzoekers rapporteerden alleen dat iemand kwam in contact met hen over “een kwaadaardig proces hadden ze ontdekt die op hun web server”. Het proces in kwestie was heel zwaar op de CPU, wijzend naar een cryptominer proces actief is op de achtergrond.
Gedurende hun analyse, de onderzoekers waren in staat om te bepalen dat de cryptominer via een Bash script bekend als cr2.sh is gedownload, die valt op de server in een onbekende manier.
Wat gebeurt er na de bash bestand wordt uitgevoerd? Het is ingesteld om processen te doden uit een lijst van proces namen die is gerelateerd aan de cryptomining, zoals xmrig en cryptonight, onder andere.
Het controleert vervolgens om te zien of de kwaadwillige proces al wordt uitgevoerd en stuurt een verzoek naar een PHP-bestand gehost op een aparte server. Dit bestand voert het IP-adres dat de werkelijke cryptominer inhoud wordt beheerd door de kwaadaardige proces grijpt.
Meer over de cr2.sh dreunmanuscript
De cr2.sh script moet ook om te bepalen of de OS-omgeving is 32- of 64-bit om de cryptomining payload te downloaden. Om dit te doen maakt gebruik van de Krul of wget commando als / tmp / php, terwijl de mijnwerker configuratie bestand wordt gedownload vanuit dezelfde server, de onderzoekers verklaard.
Het script is nu gedownload naar de webserver alle nodige inhoud te gaan en te paaien het proces met behulp van nohup, die het mogelijk maakt het proces te blijven draaien, ongeacht of de gebruiker zijn bash sessie eindigt.
In de volgende fase, de mijnwerker proces nu in het geheugen van de Linux host geladen zal de payload te verwijderen evenals zijn configuratiebestand. Dit wordt gedaan om te beveiligen en te verbergen haar aanwezigheid.
De malware is ook geschikt voor het bereiken van persistentie door het creëren van een cron job die is ingesteld op elke minuut draaien. Bovendien, het zal controleren of het de cr2.sh Bash script, en als het script ontbreekt, zal het opnieuw downloaden en uitvoeren van het weer:
Gewoon voor het geval iemand detecteert het proces en doodt hij samen met de oorspronkelijke cr2.sh bestand, het bestand creëert een cronjob (tenzij het bestaat al). Dit cron is gepland om elke minuut draaien, opnieuw te downloaden de cr2.sh bestand als het ontbreekt, en uitvoeren van de kwaadaardige dreunmanuscript.
Merk op dat niet alleen webservers het doelwit zijn van deze aanval, maar ook desktop installaties van 32/64-bit Linux-systemen, en andere varianten, ingezet om Windows-installaties te infecteren.