Dr.Web曝光新型Linux惡意軟體 指令碼功能極其複雜龐大
針對 Linux 平臺的惡意軟體,可能不像 Windows 平臺那麼普遍。但隨著時間的推移,它們正在變得越來越複雜、功能也更加多樣。 近日,俄羅斯反病毒軟體廠商 Dr.Web 發現了一種新型木馬。鑑於其沒有特定的應用程式名,所以暫且用 Linux.BtcMine.174 來指代。 與大多數 Linux 惡意軟體相比,它的複雜程度明顯要更高,因為其中包含了大量的惡意功能。
該木馬本身是一個包含 1000 多行程式碼的巨型 shell 指令碼,也是能在受感染的 Linux 系統上執行的第一個檔案。
它所做的第一件事,就是尋找磁碟上某個具有寫入許可權的資料夾,這樣它就可以複製自己、然後用於下載其它模組。
一旦木馬在受害系統上站穩了腳跟, 就會利用 CVE-2016-5195(又稱 Dirty COW)和 CVE-2013-2094 兩個特權提升漏洞中的一種。
在獲取了 root 許可權之後,它就擁有了對作業系統的完整訪問許可權,然後該木馬將自己設為本地守護程序。
如果程式尚不存在,它甚至可以自行下載 nohup 工具來實現這一點。 在牢牢掌握了受感染的主機之後,它會繼續執行其設計的主要功能 —— 加密貨幣挖礦!
此外,它還會下載並執行另一款惡意軟體 —— 被稱作比爾·蓋茨木馬的 DDoS 木馬 —— 後者亦帶有許多類似的後門功能。
你以為這就完了?Dr. Web 指出, Linux.BtcMine.174 還會查詢基於 Linux 的防毒軟體程序名稱,並終止其執行。 受害者包括:
safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets、以及 xmirrord 。
更加喪心病狂的是,惡意攻擊者對此還不滿意—— 甚至為自己製作了一份自動執行項檔案,將之放到 /etc/rc.local、/etc/rc.d/、/etc/cron.hourly 等路徑,下載並執行 rootkit 。
專家表示,該 rootkit 元件在功能上更具侵入性,能夠竊取使用者在使用 su 命令時輸入的密碼,並隱藏檔案系統、網路連線、以及執行程序中的檔案。
此外,Linux.BtcMine.174 會執行一個功能, 收集有關受感染主機通過 SSH 連線的所有遠端 ofollow,noindex">伺服器 資訊、並嘗試連線, 以便將自身傳播到更多的系統。
這種 SSH 自擴充套件機制,被認為是該木馬的主要分發渠道。
因其還依賴於竊取有效的 SSH 憑據,意味著某些 Linux 系統管理員即便再小心、正確地保護其伺服器的 SSH 連線、並且只允許特定數量的主機連線,他們也可能在不經意間感染其中一個、然後喜迎“惡意軟體全家桶”。
Dr.Web 已在 GitHub 上晾出了該木馬各元件的 SHA1 檔案雜湊值,以方便系統管理員掃描他們的系統是否存在這種相對較新的威脅。
有關該惡意軟體的更多細節,可移步至這裡檢視:
https://vms.drweb.com/virus/?i=17645163
[編譯自: ZDNet ]