20 ноября 2018 года

Тайная добыча криптовалют с использованием ресурсов компьютера без ведома его владельца — один из наиболее распространенных сегодня способов криминального заработка. Компания «Доктор Веб» рассказывает об обнаруженном недавно майнере, способном инфицировать устройства под управлением ОС Linux. Эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Эта вредоносная программа состоит из нескольких компонентов. При запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и подыскивает на диске папку с правами на запись, в которую эти модули будут затем загружены. После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве демона. Для этого троянец использует утилиту nohup. Если та в системе отсутствует, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов. Вирусные аналитики «Доктор Веб» выявили как минимум два применяемых Linux.BtcMine.174 эксплойта: это Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из Интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

После этого вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троянец собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту троянец проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.

Linux.BtcMine.174, а также все его компоненты успешно детектируются Антивирусом Dr.Web для Linux, поэтому не представляют опасности для наших пользователей.

Полный список индикаторов компрометации можно посмотреть по ссылке https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.

Подробнее о троянце

#Linux #криптовалюты #майнинг #троянец