P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}input,textarea{border-radius:3px;border:1px solid grey;margin:2px;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;border:1.5px solid black;}

Криптокомбайн

Эксперты российской компании Dr. Web обнаружили новый криптомайнер под Linux, для которого характерна многокомпонентная структура и широкий диапазон функций. Среди прочего, эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Кроме того, она удаляет из системы другие программы для майнинга криптовалют.

Криптомайнер, получивший обозначение Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

При первом запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и ищет на диске папку с правами на запись, в которую и будут загружены эти модули.

После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве так называемого демона. Для этого троянец использует утилиту nohup. Если ее в системе нет, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

Новый модульный криптомайнер под Linux убивает антивирусы и конкурентов

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Конкурентам здесь не место

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы.

Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов; аналитикам Dr. Web удалось выявить как минимум два: Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

Dirty COW — весьма известная уязвимость в ядре Linux, позволяющая повышать привилегии в системе. Выявленная в конце весны 2016 г., она на самом деле затрагивала все версии ядра, начиная с 2.6.22 (2007 г.). В версиях 4.8.3, 4.7.9 и 4.4.26 «баг» был исправлен, но не сразу. Первый патч, датированный 2016 г., закрывал уязвимость не полностью, так что в ноябре 2017 г. вышел новый патч.

При этом Dirty COW до сих пор активно эксплуатируется, и, как можно заметить, небезуспешно.

Антивирусам бой

Среди прочего Linux.BtcMine.174 способен убивать антивирусы, функционирующие в системе. Для этого он пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.

В случае их обнаружения троянец не просто завершает процесс антивируса, но «выкорчевывает» все файлы и директорию, в которой был установлен антивирусный продукт, с помощью пакетных менеджеров.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит.

Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Руткит способен красть вводимые пользователем пароли, скрывать файлы в файловой системе и т. д. Троянец также собирает информацию о сетевых узлах, к которым ранее подключались по протоколу SSH, и пробует заразить их. По всей видимости, это основной способ распространения вредоноса.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). Функционирование майнера производится раз в минуту, при необходимости программа перезапускает его заново. Соединения с управляющим сервером непрерывны, что в теории позволяет обнаружить его деятельность. Впрочем, эксперты Dr. Web опубликовали все известные к настоящему времени индикаторы заражения.

«Данная вредоносная программа выглядит как попытка создать криптомайнер с исчерпывающим набором функций, обеспечивающих постоянное его функционирование, которому ничто не будет мешать, — говорит Тарас Татаринов, эксперт по информационной безопасности компании “Информационные технологии будущего”. — Судя по всему злоумышленники в основном рассчитывали на использование майнером рабочих станций и серверов, обслуживанием которых занимаются мало, если занимаются вообще. Данный майнер особенно и не пытается скрывать свое присутствие в системе: исчезновение антивируса из регулярно используемой машины будет замечено очень быстро, не говоря уже о том, что все криптомайнеры чрезвычайно прожорливы в отношении вычислительных мощностей, и уже этим быстро выдают себя».

/*Спойлер/Accordion - для рубрик*/.accordion [type=checkbox]{display:none;}.accordion ul{list-style:none;}.accordion label{display:block;cursor:pointer;line-height:25px;background:#d95b43;border-radius:5px 10px 0 0;border:1px solid #542437;}.accordion label:hover,.accordion [type=checkbox]:checked ~ label{background:#c02942;color:#fff;}.accordion .rubcontent{height:0;transition:all .1s ease .1s;overflow:hidden;}.accordion [type=checkbox]:checked ~ .rubcontent{height:20%;border:1px solid #542437;padding:1px;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:0 auto;}@media (min-width:801px){/*Рубрики справа*/ .advert{font-size:85%;position:relative;margin-left:83%;margin-right:10px;z-index:5;}/*Мобильное меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 201909Новости, 201909

Минтруд объяснил, как правильно отправлять работников на «удаленку»

Минтруд разъяснил, как переводить сотрудников на удаленную работу, даже если это не указано в трудовом договоре. Об этом сообщили в пресс-службе Минтруда....

Рекламная выручка «Яндекса» впервые упала на 15%

Ранее о падении рекламной выручки на 5,2% сообщили в Mail.ru Group....

Таинственная хакерская группировка захватила четверть узлов Tor

Неизвестная группировка киберпреступников добавляла в сеть для анонимов Tor серверы ради осуществления атак на пользователей, проводящих операции с криптовалютами. Злоумышленники подменяли адреса целевых кошельков прямо в трафике, тем самым лишая сво...

Руководителей Amazon, Apple, Google и Facebook допросили в американском конгрессе

ИТ-корпорации стали слишком крупными, считают законодатели....

Власти создают систему слежки за криптовалютой россиян

Росфинмониторинг предлагает создать систему анализа криптовалютных транзакций с помощью искусственного интеллекта. На создание системы служба просит 760 млн руб. Об этом написал РБК со ссылкой на письмо Росфинмониторинга Максиму Паршину, замминистра ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |