Главная → НовостиНовостиНовости, 201909Новости, 201909

Криптомайнер Linux.BtcMine.174 уничтожает и файлы, и папки, в которые были установлены антивирусные продукты, а заодно деактивирует процессы других криптомайнеров.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Криптокомбайн

Эксперты российской компании Dr. Web обнаружили новый криптомайнер под Linux, для которого характерна многокомпонентная структура и широкий диапазон функций. Среди прочего, эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Кроме того, она удаляет из системы другие программы для майнинга криптовалют.

Криптомайнер, получивший обозначение Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

При первом запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и ищет на диске папку с правами на запись, в которую и будут загружены эти модули.

После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве так называемого демона. Для этого троянец использует утилиту nohup. Если ее в системе нет, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

Новый модульный криптомайнер под Linux убивает антивирусы и конкурентов

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Конкурентам здесь не место

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы.

Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов; аналитикам Dr. Web удалось выявить как минимум два: Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

Dirty COW — весьма известная уязвимость в ядре Linux, позволяющая повышать привилегии в системе. Выявленная в конце весны 2016 г., она на самом деле затрагивала все версии ядра, начиная с 2.6.22 (2007 г.). В версиях 4.8.3, 4.7.9 и 4.4.26 «баг» был исправлен, но не сразу. Первый патч, датированный 2016 г., закрывал уязвимость не полностью, так что в ноябре 2017 г. вышел новый патч.

При этом Dirty COW до сих пор активно эксплуатируется, и, как можно заметить, небезуспешно.

Антивирусам бой

Среди прочего Linux.BtcMine.174 способен убивать антивирусы, функционирующие в системе. Для этого он пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.

В случае их обнаружения троянец не просто завершает процесс антивируса, но «выкорчевывает» все файлы и директорию, в которой был установлен антивирусный продукт, с помощью пакетных менеджеров.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит.

Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Руткит способен красть вводимые пользователем пароли, скрывать файлы в файловой системе и т. д. Троянец также собирает информацию о сетевых узлах, к которым ранее подключались по протоколу SSH, и пробует заразить их. По всей видимости, это основной способ распространения вредоноса.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). Функционирование майнера производится раз в минуту, при необходимости программа перезапускает его заново. Соединения с управляющим сервером непрерывны, что в теории позволяет обнаружить его деятельность. Впрочем, эксперты Dr. Web опубликовали все известные к настоящему времени индикаторы заражения.

«Данная вредоносная программа выглядит как попытка создать криптомайнер с исчерпывающим набором функций, обеспечивающих постоянное его функционирование, которому ничто не будет мешать, — говорит Тарас Татаринов, эксперт по информационной безопасности компании “Информационные технологии будущего”. — Судя по всему злоумышленники в основном рассчитывали на использование майнером рабочих станций и серверов, обслуживанием которых занимаются мало, если занимаются вообще. Данный майнер особенно и не пытается скрывать свое присутствие в системе: исчезновение антивируса из регулярно используемой машины будет замечено очень быстро, не говоря уже о том, что все криптомайнеры чрезвычайно прожорливы в отношении вычислительных мощностей, и уже этим быстро выдают себя».

Главная → НовостиНовостиНовости, 201909Новости, 201909

Mail.ru отдаст «Деньги.Mail.ru» и VK Pay в совместное предприятие с китайцами

Mail.ru Group, Alipay, USM, РФПИ и «Мегафон» создадут совместный сервис электронных кошельков, в который Mail.ru отдаст «Деньги.Mail.ru» и VK Pay. Взамен компания получит 40% СП, став крупнейшим акционером....

Как нейросети меняют умные города

Современные города вступили на путь глобальной цифровой трансформации для повышения конкурентоспособности. Для достижения этой цели муниципалитетам нужны новые инструменты эффективного управления городским хозяйством, чтобы сделать жизнь горожан удоб...

Российские власти в разы снижают цены на 5G-частоты

Минкомсвязи подготовило новый проект «Методики определения начальной цены предмета аукциона на получение лицензии на оказание услуг связи с использованием радиочастотного спектра». Документ опубликован на портале regulation.gov.ru....

В России создано ПО против мошенников, которые представляются «сотрудниками банка»

Компании Group-IB и SafeTech объединили два своих продукта в один, в результате чего получилось решение, которое оценивает безопасность каждой дистанционной банковской транзакции в реальном времени. Система ищет признаки мошенничества на устройстве к...

ФСБ подтвердила соответствие требованиям ИБ решения «Ростелекома» для обработки биометрии

«Ростелеком» стал первой компанией, которая получила положительное заключение ФСБ России на типовое решение по безопасности при обработке биометрических данных. Соответствующее письмо № 149/3/2/2-2110 от 30 сентября 2019 года было направлено в лиценз...

[Популярные социальные сети] [*Добавить сайт]

Нравится

Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |