Huis > Cyber ​​Nieuws > Skidmap: New cryptogeld Miner Doelen Linux-gebruikers
CYBER NEWS

Skidmap: New cryptogeld Miner Doelen Linux-gebruikers

image cryptogeld Miners

Skidmap is een nieuwe cryptomining malware (cryptominer) dat gebruikt laadbare kernelmodules (LKMs) stiekem in Linux-systemen. De malware is in staat om het verbergen van haar kwaadaardige activiteiten door het weergeven van valse netwerkverkeer stats.




Volgens Trend Micro onderzoekers, die uitkwam op Skidmap, de malware vertoont de toenemende complexiteit van de recente bedreigingen cryptogeld-mining. Wat maakt Skidmap opvalt is de manier waarop het laadt kwaadaardige LKMs zijn crypto mijnbouwactiviteiten te verbergen. De LKMs overschrijven of delen van de kernel te wijzigen, waardoor de malware moeilijk schoon. Daarbovenop, Skidmap maakt ook gebruik van verschillende infectie mechanismen en is ook in staat om opnieuw te infecteren hosts die zijn opgeruimd.

Skidmap cryptogeld Miner: Enkele technische gegevens

In termen van de installatie, Dit zijn de stappen die de malware volgt:

1. De malware installeert zichzelf via crontab (lijst van commando's die worden uitgevoerd op een regelmatig schema) op gerichte systemen;
2. De installatie script pm.sh downloadt de belangrijkste binaire “pc” (gedetecteerd door Trend Micro als Trojan.Linux.SKIDMAP.UWEJX).

Zodra de binary is uitgevoerd, beveiligingsinstellingen van het systeem aanzienlijk dalen. Bovendien, de Skidmap malware zorgt er ook een manier om de achterdeur toegang tot de beoogde machine winnen door het hebben van de binaire voeg de publieke sleutel van zijn handlers aan het authorized_keys bestand, welke toetsen die nodig zijn voor authenticatie bevat, Trend Micro gerapporteerd.

Skidmap vervangt ook de pam_unix.so module, die verantwoordelijk is voor standaard Unix authenticatie, met een kwaadaardige versie die een specifiek wachtwoord voor alle gebruikers accepteert. Op deze manier de malware maakt bedreiging acteurs om in te loggen als een gebruiker in de machine.

De binaire is ook ontworpen om mijnwerkers deel vallen overeenkomstig de verdeling aanwezig op het geïnfecteerde systeem - Debian Linux, CentOS,of Red Hat Enterprise Linux.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/godlua-backdoor-cve-2019-3396/”] Godlua Backdoor Gebruikt CVE-2019-3396 naar Linux Gebruikers Target

In aanvulling op de cryptogeld mijnwerker, Skidmap daalt ook de volgende onderdelen:

  • Een fake “rm” binary - Een van de onderdelen die in het tar-bestand is een fake “rm” binary dat de oorspronkelijke zal vervangen (rm wordt normaal gebruikt worden als opdracht voor het verwijderen van bestanden). De kwaadaardige routine van dit bestand wordt een kwaadaardige cron job die zou te downloaden en een bestand uit te voeren. Deze routine wordt niet altijd in acht worden genomen, echter, aangezien het slechts willekeurig worden uitgevoerd.
  • kaudited - Een bestand geïnstalleerd als / usr / bin / kaudited. Dit binaire zal dalen en een aantal laadbare kernel modules te installeren (LKMs) op de geïnfecteerde machine. Om ervoor te zorgen dat de geïnfecteerde machine niet zal crashen als gevolg van de kernel-mode rootkits, Het maakt gebruik van verschillende modules voor specifieke kernelversies. De kaudited binaire daalt ook een waakhond component die de cryptogeld mijnwerker-bestand en proces zal monitoren.
  • iproute - Deze module haken de system call, getdents (normaliter worden gebruikt om de inhoud van een directory te lezen) om specifieke bestanden te verbergen.
  • Netlink - Deze rootkit fakes het netwerkverkeer statistieken (specifiek verkeer met bepaalde IP-adressen en poorten) en CPU-gerelateerde statistieken (verstop de “pamdicks” Werkwijze en CPU load). Dit zou de CPU-belasting van de geïnfecteerde machine maken verschijnen altijd laag. Dit is waarschijnlijk dat het lijkt alsof er niets mis is aan de gebruiker (zo hoog CPU-gebruik is een rode vlag van cryptogeld-mining malware).

Tenslotte, Skidmap is een vrij geavanceerde cryptogeld malware die componenten bevat om het te helpen onopgemerkt blijven. Zijn verschijning laat zien dat de mijnwerkers niet zo gangbaar zijn, maar vormen nog steeds grote risico's voor de gebruikers.

Milena Dimitrova

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...