Um novo relatório de segurança revela que uma perigosa nova Linux Trojan foi encontrado para infectar computadores em todo o mundo. É classificado como uma ameaça híbrido, uma vez que engloba cenários de ataque de vários tipos de infecções. Os ataques são encontrados para tirar vantagem de duas vulnerabilidades: CVE-2016-5195 e CVE-2013-2094.
O Linux.BtcMine.174 Trojan Explora Ambos CVE-2013-2094 e CVE-2016-5195
Trojans Linux continuam a surgir como eles foram encontrados para ser particularmente eficaz contra estações de trabalho e servidores de uso em massa em redes segmentadas. Uma infecção particularmente perigoso foi recentemente relatado para redes infecto em todo o mundo.. Foi-lhe atribuído o genérico identificados de Linux.BtcMine.174. O Trojan em si é um conjunto de comandos contidos dentro de um shell script que contém mais 1,000 linhas de código. As infecções começar com um script que procura por um local no disco rígido local que tem permissões de gravação. Lá ele vai se copiar e lançar o resto dos módulos.
Ele está sendo espalhada usando dois exploits:
- CVE-2016-5195 - Esta é a famosa coleção de exploits conhecidos como “Vaca suja” que tem como alvo Linux e dispositivos Android. Ele foi fixada pelo Google no [wplinkpreview url =”https://sensorstechforum.com/cve-2016-5195-plenty-flaws-fixed-androids-december-bulletin/”]dezembro 2016 boletim de atualização. Esta é uma vulnerabilidade do kernel que tira proveito de uma condição de corrida que permite que códigos maliciosos para o ganho de acesso de gravação para memória só de leitura. sistemas desatualizados podem ser facilmente comprometida com o código do vírus.
- CVE-2013-2094 - Este bug explora uma vulnerabilidade no kernel do Linux que permite que os usuários locais para obter privilégios do sistema.
Uma vez que impactou o código de malware irá definir-se como um daemon local que irá acionar a descarga do motor de infecção. O Linux Trojan irá prosseguir com o lançamento do built-in de configuração associado a cada campanha. Isto significa que cada ataque pode produzir um comportamento diferente e impacto resultante. As amostras captadas até aqui iniciar um mineração criptomoeda instância. Antes de lançar-se ele irá verificar a memória e conteúdo do disco rígido para outros mineiros. Isto é feito, a fim de maximizar a geração de renda para os operadores de hackers. As cargas de campanha atuais uma mineradora de Monero.
O Linux.BtcMine.174 híbrido Linux Trojan ainda continua
Após a ameaça foi implantado no sistema de destino das amostras Linux.BtcMine.174 adquiridos foram encontrados para baixar outro malwares chamado Bill Gates Trojan. Este é um sofisticado DDoS (Negação de serviço distribuída) vírus que também permite que os operadores de hackers para assumir o controle dos hospedeiros infectados.
um associado ignorar a segurança é feito assim - ele vai golpe para os processos em execução na memória que estão associados com Linux baseada em produtos anti-vírus. Se tais são encontrados eles estão indo para ser morto instantaneamente para detecção de evitar. Seguindo-o Trojan irá definir-se como um daemon e instalar um rootkit módulo. Ele Superseeds operações da Tróia por ser capaz de roubar senhas digitadas pelo usuário e esconder-se profundamente no sistema.
A análise dos programas Linux.BtcMine.174 que uma função separada que está instalado vontade informações credenciais colheita, nesta lista caso um particular de todos os servidores remotos e credenciais. Isso permite que os operadores de hackers para roubar as cordas necessárias e ser capaz de se conectar a essas máquinas. Isto permite a infecção automatizada de redes inteiras de computadores.
Acredita-se que este mecanismo é o canal de distribuição principal. infecções ativas pode ser difícil de detectar como eles não são diferentes de conexões remotas regulares iniciadas por usuários. As somas de verificação para os arquivos de Tróia detectados foram publicados no GitHub. Isso permite que os administradores de sistema para escanear seus sistemas e identificar se eles foram infectados.