کشف یک بدافزار استخراج‌کننده‌ی رمزارز ماژولار جدید در سیستم‌های لینوکس

 

کارشناسان امنیتی شرکت روسی دکتر وب، استخراج‌کننده‌ی رمزارز جدیدی را در سیستم‌های لینوکس شناسایی کرده‌اند که ساختاری چندمؤلفه‌ای داشته و قادر به اجرای قابلیت‌های بسیاری با بیش از هزار خط کد است. این بدافزار که با نام Linux.BtcMine.174 ردیابی می‌شود، بیشتر بر روی استخراج رمزارز مونرو تمرکز دارد. زمانی که این بدافزار برای اولین بار اجرا شود، بررسی می‌کند که آیا سروری برای دانلود ماژول‌های اضافی تروجان در دسترس است یا خیر. سپس، بر روی دیسک پوشه‌ای را که مجوز نوشتن بر روی آن را دارد، پیدا می‌کند تا بتواند خود را کپی کرده و از آن به‌عنوان مخزنی برای دانلود ماژول‌های اضافی استفاده نماید. 


استخراج‌کننده‌ی جدید لینوکس از دو آسیب‌پذیری ارتقاء امتیاز CVE-2016-5195 (با نام مستعار گاو کثیف) و CVE-2013-2094 برای دسترسی به مجوزهای اصلی سیستم آلوده بهره‌بردای می‌کند. علاوه ‌بر این، این بدافزار خود را به‌عنوان یک ورودی خوداجراشونده به پوشه‌هایی مانند /etc/rc.local، /etc/rc.d و /etc/cron.hourly اضافه می‌کند. سپس، یک روت‌کیت دانلود و اجرا می‌نماید. به گفته‌ی کارشناسان دکتر وب، درصورتی‌که این اسکریپت با /sbin/init اجرا نشود، اقدامات زیر انجام خواهند شد:

  1. اسکریپت به یک پوشه‌ی از پیش انتخاب‌شده با مجوز نوشتن (rwx) که diskmanagerd نام دارد (این نام در متغیر WatchDogName$ مشخص شده است) منتقل می‌شود.
  2. اسکریپت تلاش می‌کند تا با استفاده از nohup و یا درصورتی‌که nuhup نباشد، در پس‌زمینه مجددا راه‌اندازی شود (در این مورد، تروجان بسته‌ی coreutils را نصب می‌کند).


هنگامی‌که بدافزار سیستم لینوکس را آلوده کرد، عملیات استخراج‌کننده‌های دیگر را پویش و فسخ خواهد کرد و وجود خطوط ویژه (cryptonight ،stratum+tcp و غیره)، /proc/${pid}/exe and /proc/${pid}/cmdline را نیز پویش می‌کند. کارشناسان همچنین کشف کردند که این تروجان نرم‌افزارهای ضدویروس از جمله آواست، ای‌وی‌جی، دکتر وب و ای‌ست را نیز غیرفعال می‌کند. سپس، استخراج‌کننده‌ی Linux.BtcMine.174 عملیات استخراج رمزارز مونروی خود را دانلود و آغاز می‌کند. این بدافزار لینوکس همچنین یک تروجان دیگر را که با شناسه‌ی Linux.BackDoor.Gates.9 ردیابی می‌شود، دانلود می‌کند. 


تروجان Linux.BackDoor.Gates.9 قابلیت‌های درب پشتی را اجرا کرده و انجام حملات منع سرویس توزیع‌شده (DDoS) را ممکن می‌سازد. Linux.BtcMine.174 همچنین قابلیت سرقت گذرواژه‌های واردشده توسط کاربر را برای انجام دستور su و نیز پنهان کردن پرونده‌ها در سیستم پرونده، اتصالات شبکه و فرایندهای در حال اجرا، دانلود و اجرا می‌کند. این تروجان همچنین داده‌های تمام میزبان‌هایی را که کاربر فعلی پیش از این از طریق SSH به آن‌ها متصل شده است را جمع‌آوری کرده و تلاش می‌کند تا آن‌ها را به همدیگر پیوند دهد. کارشناسان معتقدند که این بدافزار با استفاده از گواهی‌نامه‌های SSH به سرقت رفته در سیستم‌های آلوده گسترش می‌یابد.
 

منبع

پست‌های مشابه

Leave a Comment