新的加密挖礦惡意軟體攻擊Linux機器,殺死其他挖礦軟體和反惡意軟體
俄羅斯Dr.Web反惡意軟體製造商發現了一種新的Linux下惡意軟體,該惡意軟體體現在一個特洛伊木馬程式中,可以作為加密貨幣挖礦軟體,也可以作為DDoS後門程式和rootkit等其他惡意軟體有效負載的通道。
Dr.Web團隊為新木馬病毒命名為Linux.BtcMine.174,是一個1000行shell指令碼,它帶有多個模組,可以下載並寫入任何具有寫入許可權的資料夾。
一旦它設法在受感染的計算機上轉儲額外的惡意軟體負載,Linux.BtcMine.174將使用nohup POSIX實用程式將其自身作為守護程式啟動,將其輸出重定向到nohup.out檔案以使檢測更加困難。
在將自身作為服務安裝後,特洛伊木馬會下載Linux.BackDoor.Gates.9特洛伊木馬有效負載,使其主機可以控制受感染的計算機並使用它來執行DDoS攻擊。
因為在破壞其Linux目標後,特洛伊木馬在當前使用者的特權下執行,幾乎從不是管理員帳戶,Linux.BtcMine.174使用Linux.Exploit.CVE-2016-5195(稱為DirtyCow)和Linux等漏洞。 Exploit.CVE-2013-2094升級其許可權並完全接管Linux機器。
一旦它在受感染裝置上獲得root許可權,就開始搜尋任何AntiMalware解決方案,在找到時終止它們的程序,並使用包管理器完全解除安裝它們。
Linux.BtcMine.174還竊取root密碼並通過SSH自動傳播
特洛伊木馬還會追捕它可以在機器上執行的任何加密礦工,終止他們的程序以避免共享系統的計算資源。一旦完成“清理”任何採礦競爭對手的裝置,Linux.BtcMine.174將下載Monero(XMR)挖掘指令碼並開始工作。
挖掘過程開始後,惡意軟體將確保它始終保持執行,每隔幾分鐘在無限迴圈中檢查其心跳並在需要時重新啟動它。
為了讓受害者更加糟糕,特洛伊木馬還會將自己新增到機器的Autorun中,並下載一個能夠在系統中的任何位置隱藏檔案的rootkit,更重要的是,竊取“使用者輸入的su命令密碼”。
在感染過程的最後階段,Linux.BtcMine.174特洛伊木馬程式開始使用SSH檢視受感染機器所有者過去連線到的網路上可用的所有主機,並嘗試連線並感染每個主機。
有關針對Linux系統的新木馬菌株內部工作原理的更多詳細資訊可在Dr.Web的病毒資料庫中獲得,同時GitHub上也提供了所有發現的危害指標的完整列表。