کارشناسان امنیتی شرکت روسی دکتر وب، استخراجکنندهی رمزارز جدیدی را در سیستمهای لینوکس شناسایی کردهاند که ساختاری چندمؤلفهای داشته و قادر به اجرای قابلیتهای بسیاری با بیش از هزار خط کد است. این بدافزار که با نام Linux.BtcMine.174 ردیابی میشود، بیشتر بر روی استخراج رمزارز مونرو تمرکز دارد. زمانی که این بدافزار برای اولین بار اجرا شود، بررسی میکند که آیا سروری برای دانلود ماژولهای اضافی تروجان در دسترس است یا خیر. سپس، بر روی دیسک پوشهای را که مجوز نوشتن بر روی آن را دارد، پیدا میکند تا بتواند خود را کپی کرده و از آن بهعنوان مخزنی برای دانلود ماژولهای اضافی استفاده نماید.
استخراجکنندهی جدید لینوکس از دو آسیبپذیری ارتقاء امتیاز CVE-2016-5195 (با نام مستعار گاو کثیف) و CVE-2013-2094 برای دسترسی به مجوزهای اصلی سیستم آلوده بهرهبردای میکند. علاوه بر این، این بدافزار خود را بهعنوان یک ورودی خوداجراشونده به پوشههایی مانند /etc/rc.local، /etc/rc.d و /etc/cron.hourly اضافه میکند. سپس، یک روتکیت دانلود و اجرا مینماید. به گفتهی کارشناسان دکتر وب، درصورتیکه این اسکریپت با /sbin/init اجرا نشود، اقدامات زیر انجام خواهند شد:
- اسکریپت به یک پوشهی از پیش انتخابشده با مجوز نوشتن (rwx) که diskmanagerd نام دارد (این نام در متغیر WatchDogName$ مشخص شده است) منتقل میشود.
- اسکریپت تلاش میکند تا با استفاده از nohup و یا درصورتیکه nuhup نباشد، در پسزمینه مجددا راهاندازی شود (در این مورد، تروجان بستهی coreutils را نصب میکند).
هنگامیکه بدافزار سیستم لینوکس را آلوده کرد، عملیات استخراجکنندههای دیگر را پویش و فسخ خواهد کرد و وجود خطوط ویژه (cryptonight ،stratum+tcp و غیره)، /proc/${pid}/exe and /proc/${pid}/cmdline را نیز پویش میکند. کارشناسان همچنین کشف کردند که این تروجان نرمافزارهای ضدویروس از جمله آواست، ایویجی، دکتر وب و ایست را نیز غیرفعال میکند. سپس، استخراجکنندهی Linux.BtcMine.174 عملیات استخراج رمزارز مونروی خود را دانلود و آغاز میکند. این بدافزار لینوکس همچنین یک تروجان دیگر را که با شناسهی Linux.BackDoor.Gates.9 ردیابی میشود، دانلود میکند.
تروجان Linux.BackDoor.Gates.9 قابلیتهای درب پشتی را اجرا کرده و انجام حملات منع سرویس توزیعشده (DDoS) را ممکن میسازد. Linux.BtcMine.174 همچنین قابلیت سرقت گذرواژههای واردشده توسط کاربر را برای انجام دستور su و نیز پنهان کردن پروندهها در سیستم پرونده، اتصالات شبکه و فرایندهای در حال اجرا، دانلود و اجرا میکند. این تروجان همچنین دادههای تمام میزبانهایی را که کاربر فعلی پیش از این از طریق SSH به آنها متصل شده است را جمعآوری کرده و تلاش میکند تا آنها را به همدیگر پیوند دهد. کارشناسان معتقدند که این بدافزار با استفاده از گواهینامههای SSH به سرقت رفته در سیستمهای آلوده گسترش مییابد.