Skidmap é um novo malware cryptomining (cryptominer) que usos carregável do kernel módulos (LKMs) esgueirar-se para sistemas Linux. O malware é capaz de esconder suas atividades maliciosas por exibir estatísticas de tráfego de rede falso.
De acordo com pesquisadores da Trend Micro, que tropeçou no Skidmap, o malware exibe a complexidade crescente das ameaças recentes de mineração de criptomoedas. O que faz o Skidmap se destacar é a maneira como carrega LKMs maliciosos para ocultar suas operações de mineração de criptografia. Os LKMs sobrescrevem ou modificam partes do kernel, o que torna o malware difícil de limpar. Em cima disso, O Skidmap também utiliza vários mecanismos de infecção e também é capaz de reinfectar hospedeiros que foram limpos.
Skidmap Cryptocurrency Miner: Alguns detalhes técnicos
Em termos de instalação, essas são as etapas que o malware segue:
1. O malware se instala por meio do crontab (lista de comandos executados em uma programação regular) em sistemas direcionados;
2. O script de instalação pm.sh baixa o binário principal “pc” (detectado pela Trend Micro como Trojan.Linux.SKIDMAP.UWEJX).
Uma vez que o binário é executado, as configurações de segurança do sistema diminuem significativamente. além disso, o malware Skidmap também garante uma maneira de obter acesso backdoor à máquina alvo, fazendo com que o binário adicione a chave pública de seus manipuladores ao arquivo authorized_keys, que contém as chaves necessárias para autenticação, Trend Micro relatado.
Skidmap também substitui o módulo pam_unix.so, que é responsável pela autenticação padrão do Unix, com uma versão maliciosa que aceita uma senha específica para qualquer usuário. Desta forma, o malware permite que os agentes de ameaças façam login como qualquer usuário na máquina.
O binário também é projetado para descartar a parte do minerador de acordo com a distribuição presente no sistema infectado - Debian Linux, CentOS,ou Red Hat Enterprise Linux.
Além do mineiro criptomoeda, Skidmap também descarta os seguintes componentes:
- Um binário “rm” falso - Um dos componentes contidos no arquivo tar é um binário “rm” falso que substituirá o original (rm é normalmente usado como comando para deletar arquivos). A rotina maliciosa deste arquivo configura um cron job malicioso que baixa e executa um arquivo. Essa rotina nem sempre será observada, Contudo, já que só seria realizado aleatoriamente.
- kaudited - Um arquivo instalado como / usr / bin / kaudited. Este binário irá remover e instalar vários módulos de kernel carregáveis (LKMs) na máquina infectada. Para garantir que a máquina infectada não trave devido aos rootkits do modo kernel, ele usa módulos diferentes para versões específicas do kernel. O binário kaudited também descarta um componente watchdog que monitorará o arquivo minerador de criptomoeda e processará.
- iproute - Este módulo conecta a chamada do sistema, getdents (normalmente usado para ler o conteúdo de um diretório) para esconder arquivos específicos.
- netlink - Este rootkit simula as estatísticas de tráfego de rede (especificamente o tráfego envolvendo determinados endereços IP e portas) e estatísticas relacionadas à CPU (esconda o “pamdicks” processo e carga da CPU). Isso faria com que a carga da CPU da máquina infectada sempre parecesse baixa. Isso provavelmente fará com que pareça que nada está errado para o usuário (já que o alto uso da CPU é uma bandeira vermelha de malware de mineração de criptomoeda).
Em conclusão, Skidmap é um malware de criptomoeda bastante avançado que contém componentes para ajudá-lo a permanecer sem ser detectado. Sua aparência mostra que os mineiros podem não ser tão prevalentes, mas ainda assim representam grandes riscos para os usuários.