Szerző: Hlács Ferenc

2018. november 26. 15:54

A konkurenciával és a védvonalakkal is végez a linuxos kriptobányász

A Dr.Web szakértői által felfedezett kártevő a biztonsági szoftvereket és a rivális malware-eket is kiiktatja.

Új kriptobányász malware ütötte fejét, amely a Linux-alapú rendszereket veszi célba. Az élelmes Linux.BtcMine.174 kártevőt az orosz Dr.Web biztonsági cég szakértői fedezték fel, a rosszindulatú szoftver amellett, hogy egy sor, a hálózatra csatlakozó eszközt képes megfertőzni, akár a biztonsági szoftvereket is lekapcsolhatja.

A malware több komponensből áll: az első az adott rendszerre kerülve keres egy nem írásvédett könyvtárat, ahová a később letöltött modulok kerülhetnek. Ezt követően a nohup paranccsal újraindítja magát daemonként - ha pedig a nohup parancs nem található meg az adott rendszeren, a kártevő maga telepíti az azt tartalmazó coreutils csomagot. Ha mindez megtörtént a rosszindulatú szoftver a Dr.Web által Linux.BackDoor.Gates.9 néven emlegetett trójai letöltésével folytatja, amely egy sor ismert biztonsági rést tartalmaz, amelyeken keresztül a támadók parancsokat futtathatnak a rendszeren, vagy akár DDoS támadáshoz is csatasorba állíthatják azt. Amennyiben a Linux.BtcMine.174 nem root jogosultságokkal jut az adott rendszerre, több sebezhetőséget is végigpróbál jogosultságainak feltornázására. Ezek között ott van az Android által is megörökölt, linuxos DirtyCow biztonsági rés is.

mlwill

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Miután a malware berendezkedett, elkezd rivális kártevők után kutatni az adott gépen, és ha ilyet talál, leállítja a hozzájuk tartozó folyamatokat. Ezt követően biztonsági szoftverek után is elkezd kutatni, és ha azokhoz köthető nevű futó szolgáltatást talál, mint például a safedog, aegis, yunsuo, clamd, avast, avgd, netán esets, nem csak leállítja azt, de a csomagkezelővel el is távolítja a elcsípett vírusirtót a gépről, annak telepítési könyvtárával együtt.

Ha a konkurenciát és a rendszer védelmi vonalait kiiktatta, a malware hozzáadja magát az automatikusan induló alkalmazások listájához, illetve egy rootkitet is elindít. Utóbbi modul képes a su parancshoz megadott felhasználói jelszavak begyűjtésére, valamint igény szerint fájlokat, futó folyamatokat és hálózati kapcsolatokat is el tud rejteni. A trójai az adatok birtokában terjeszkedni is megpróbál azokra az eszközökre, amelyekkel az adott rendszer korábban SSH kapcsolatot létesített.

Végül kártevő elindítja a kriptobányász-modulját az eszközön, amellyel a fertőzött gép erőforrásait használva Monero kriptovalutát igyekszik gyűjteni - és amelynek aktivitását percenként ellenőrzi, így ha kell, újra tudja indítani a bányászt. Mindeközben a malware a vezérlőszerverrel is tartja a kapcsolatot, ahonnan igény szerint frissítéseket is letölt. A Dr.Web GitHub oldalán közzétette a kártevő egyes komponenseinek SHA1 hash-eit, illetve az érdeklődők számára részletes leírást is közölt a fertőzés folyamatáról. Azt egyelőre nem tudni, hogy a kártevő eddig hány eszközt fertőzhetett meg.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról