Linux设备遭殃,新恶意软件获取其Root权限

Linux设备遭殃,新恶意软件获取其Root权限

Linux恶意软件随着时间的推移变得越来越复杂和多功能。俄罗斯反病毒公司Dr.Web的安全专家近日发现了一款恶意软件,专门为Linux设备设计的新模块化Monero加密矿工,被追踪为Linux.BtcMine.174,其附加功能还允许它作为后门运行。

Linux设备遭殃,新恶意软件获取其Root权限

这款恶意软件具有多组件结构,可通过其1,000多行代码实现广泛的功能。该软件首次执行时,它会检查用于特洛伊木马随后下载其他模块的服务器是否可用。接着它会在磁盘上找到一个具有读写权限的文件夹,这样它就可以自我复制并将作为下载其他模块的存储库。

Linux.BtcMine.174 Linux加密矿工借助两个权限提升漏洞CVE-2016-5195(又名Dirty COW)和CVE-2013-2094之一来获取受感染系统的root权限。

Linux设备遭殃,新恶意软件获取其Root权限

检查服务器是否可用的代码

Linux矿工同时还将自身作为自动运行项添加到/etc/rc.local,/etc/rc.d/…和/etc/cron.hourly等文件中,随后下载并运行rootkit。

专家分析称如果脚本未使用/sbin/init运行,则执行以下操作:

1.该脚本被移动到之前选择的具有读写权限(rwx)的文件夹中,该文件夹名为diskmanagerd(该名称在$WatchDogName变量中指定)。

2.该脚本尝试使用nohup重新启动,或在没有安装nohup的情况下后台重启(安装coreutils程序包)。

Linux设备遭殃,新恶意软件获取其Root权限

一旦该恶意软件成功感染Linux系统,它将扫描并终止几个竞争关系的其他矿工的进程:扫描 /proc/${pid}/exe和/proc/${pid}/cmdline以检查特定的行(cryptonight和stratum+tcp等)。专家还发现,该恶意软件还能终止杀毒软件的运行,包括Avast、AVG、Dr.Web和ESET。

为了从攻击者那里接收攻击命令,Linux恶意软件还会下载另一个特洛伊木马,被追踪为Linux.BackDoor.Gates.9,它实现后门功能并允许执行DDoS攻击。

Linux设备遭殃,新恶意软件获取其Root权限

该恶意软件通过使用Linux内核利用DirtyCow(CVE-2016-5195)和Linux.Exploit.CVE-2013-2094升级其权限来获得root权限。这允许它下载并启动基于shell脚本的rootkit,其功能包括窃取用户输入的su命令(用于Linux从一个帐户切换到另一个帐户)的密码,并隐藏文件系统、网络连接和运行进程中的文件。

最后,它试图通过收集受感染用户之前通过Secure Shell(SSH)连接的各种主机上的数据,然后攻击这些主机来分发到其他设备上,从而扩大其攻击覆盖面。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132871.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code