Een nieuwe security rapport blijkt dat een gevaarlijke nieuwe Linux Trojan is gevonden om computers over de hele wereld te infecteren. Het wordt gecategoriseerd als hybride bedreigd door het omvat overvalscenario's van verschillende soorten infecties. De aanvallen worden gevonden om te profiteren van twee kwetsbaarheden: CVE-2016-5195 en CVE-2013-2094.
De Linux.BtcMine.174 Trojan Exploits Zowel CVE-2013-2094 en CVE-2016-5195
Linux Trojans steeds naar voren komt, zoals ze werden gevonden in het bijzonder effectief tegen massa ingezet werkstations en servers op gerichte netwerken te zijn. Een bijzonder gevaarlijke infectie is onlangs gemeld dat netwerken wereldwijd te infecteren.. Het is toegewezen de generieke geïdentificeerd van Linux.BtcMine.174. Het Trojaanse paard zelf is een verzameling van commando's die binnen een shell script met meer dan 1,000 regels code. De infecties beginnen met een script dat zoekt naar een locatie op de lokale harde schijf die schrijfrechten heeft. Er zal zichzelf te kopiëren en start de rest van de modules.
Het wordt verspreid door het gebruik van twee exploits:
- CVE-2016-5195 - Dit is de beroemde collectie van exploits bekend als “Dirty Cow” die Linux en Android apparaten richt. Het werd vastgesteld door Google in de [wplinkpreview url =”https://sensorstechforum.com/cve-2016-5195-plenty-flaws-fixed-androids-december-bulletin/”]December 2016 -update bulletin. Dit is een kernel kwetsbaarheid die gebruik maakt van een race condition die het mogelijk maakt schadelijke code write-toegang te krijgen tot alleen-lezen geheugen. Ongepatchte systemen kunnen eenvoudig worden aangetast met de code van het virus.
- CVE-2013-2094 - Deze bug maakt gebruik van een kwetsbaarheid in de Linux Kernel waarmee lokale gebruikers om rechten te krijgen tot het systeem.
Zodra invloed gehad op de malware code stelt zichzelf in als een lokale daemon die het downloaden van de infectie motor zal leiden. De Linux Trojan zal doorgaan met de lancering van de ingebouwde configuratie geassocieerd met elke campagne. Dit betekent dat elke aanslag een ander gedrag en effecten verkregen kunnen produceren. De gemaakte monsters tot nu toe het starten van een cryptogeld mining aanleg. Voordat u zelf de lancering zal het geheugen en de inhoud van de vaste schijf voor de andere mijnwerkers te scannen. Dit wordt gedaan met het oog op het genereren van inkomsten te maximaliseren voor de hacker operators. De huidige campagne laadt een Monero-based mijnwerker.
De Linux.BtcMine.174 Hybrid Linux Trojan blijft Verdere
Nadat de dreiging heeft op het doelsysteem geïmplanteerd de verworven Linux.BtcMine.174 monsters zijn gevonden op een andere malware genaamd de te downloaden Bill Gates Trojan. Dit is een geavanceerde DDoS (distributed denial-of-service-) virus dat maakt het ook mogelijk de hacker operators om de controle over de geïnfecteerde gastheren nemen.
een bijbehorende security bypass wordt als het goed gedaan - het zal scam voor processen die in het geheugen die worden geassocieerd met Linux-gebaseerde anti-virus producten. Indien dergelijke worden gevonden ze zullen onmiddellijk worden gedood om ontdekking te voorkomen. Naar aanleiding van dat het Trojaanse paard zal zichzelf als een daemon en installeren van een rootkit module. Het superseeds activiteiten van de Trojan door de mogelijkheid om door de gebruiker ingevoerde wachtwoorden te stelen en diep in het systeem te verbergen zelf.
De analyse laat zien dat Linux.BtcMine.174 aparte functie geïnstalleerd op te stellen oogst referenties informatie, in dit specifieke geval een lijst van alle externe servers en referenties. Hierdoor kan de hacker operators om de vereiste strings kapen en in staat zijn om verbinding te maken met deze machines. Dit zorgt voor een geautomatiseerde infectie van hele netwerken van computers.
Er wordt geloofd dat dit mechanisme is het belangrijkste distributiekanaal. Actieve infecties kunnen moeilijk te zien zijn omdat ze niet anders dan gewone externe verbindingen geïnitieerd door gebruikers. De checksums voor de gedetecteerde Trojan bestanden zijn gepubliceerd op GitHub. Dit stelt systeembeheerders om hun systemen te scannen en te identificeren als ze zijn besmet.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: