Start Empfohlen Hinterlistige Kryptowährungs-Mining-Malware Skidmap trifft Linux

Hinterlistige Kryptowährungs-Mining-Malware Skidmap trifft Linux

4
0


Monero-Bergbau

Sicherheitsforscher von TrendMicro haben einen Rootkit-ähnlichen Malware-Stamm entdeckt, der Linux-Benutzer befällt. Die Malware namens Skidmap ist ein Kryptowährungs-Miner, aber es steckt noch viel mehr dahinter.

Skidmap ist clever. Sehr schlau. Es tut alles, um sich zu tarnen, und geht so weit, Systemstatistiken zu fälschen, um die verräterische hohe CPU-Auslastung zu verbergen, die es verraten könnte. Darüber hinaus kann die Monero-Mining-Malware Angreifern auch uneingeschränkten Zugriff auf ein infiziertes System gewähren.

Siehe auch:

TrendMicro warnt, dass Skidmap „die zunehmende Komplexität der jüngsten Kryptowährungs-Mining-Bedrohungen demonstriert“ und weist darauf hin, dass es „bemerkenswert ist, weil es bösartige Kernel-Module lädt, um seine Kryptowährungs-Mining-Operationen unter dem Radar zu halten“.

Die Bedrohungsanalysten Augusto Remillano II und Jakub Urbanec gehen in einem Beitrag auf dem TrendMicro-Blog. Sie erklären:

Diese Malware zeichnet sich dadurch aus, dass sie bösartige Kernel-Module lädt, um ihre Kryptowährungs-Mining-Operationen unter dem Radar zu halten.

Diese Rootkits im Kernel-Modus sind im Vergleich zu ihren Pendants im User-Modus nicht nur schwieriger zu erkennen, sondern Angreifer können damit auch ungehinderten Zugriff auf das betroffene System erlangen. Ein typisches Beispiel: Die Art und Weise, wie Skidmap auch ein geheimes Master-Passwort einrichten kann, das ihm Zugriff auf jedes Benutzerkonto im System gewährt. Umgekehrt, da viele der Routinen von Skidmap Root-Zugriff erfordern, sind die Angriffsvektoren, die Skidmap verwendet – sei es durch Exploits, Fehlkonfigurationen oder die Offenlegung des Internets – höchstwahrscheinlich dieselben, die dem Angreifer Root- oder Administratorzugriff auf das System ermöglichen .

Die Infektion erfolgt über den crontab-Prozess, und ein Skript wird verwendet, um die Malware Trojan.Linux.SKIDMAP.UWEJX herunterzuladen – die „pc“-Binärdatei. Anschließend werden die Sicherheitseinstellungen des Systems gesenkt, wie die Forscher von TrendMicro erklären:

Bei der Ausführung der „pc“-Binärdatei werden die Sicherheitseinstellungen des betroffenen Computers verringert. Wenn die Datei /usr/sbin/setenforce existiert, führt die Malware den Befehl setenforce 0 aus. Dieser Befehl konfiguriert das Security-Enhanced Linux (SELinux)-Modul des Systems, das Unterstützung in den Zugriffskontrollrichtlinien des Systems bietet, in den permissiven Modus – das ist, die SELinux-Richtlinie so zu setzen, dass sie nicht erzwungen wird. Wenn das System die Datei /etc/selinux/config hat, schreibt es diese Befehle in die Datei: SELINUX=disabled und SELINUXTYPE=targeted Befehle. Ersteres deaktiviert die SELinux-Richtlinie (oder lässt das Laden einer Richtlinie nicht zu), während letzteres ausgewählte Prozesse so einstellt, dass sie in eingeschränkten Domänen ausgeführt werden.

Skidmap richtet auch eine Möglichkeit ein, um Hintertür-Zugriff auf die Maschine zu erhalten. Dies geschieht, indem die Binärdatei den öffentlichen Schlüssel ihrer Handler zur Datei „authorized_keys“ hinzufügt, die die für die Authentifizierung benötigten Schlüssel enthält.

Neben dem Hintertürzugang bietet Skidmap seinen Bedienern auch eine weitere Möglichkeit, Zugang zur Maschine zu erhalten. Die Malware ersetzt die Datei pam_unix.so des Systems (das Modul, das für die Standard-Unix-Authentifizierung verantwortlich ist) durch ihre eigene bösartige Version (erkannt als Backdoor.Linux.PAMDOR.A). Diese bösartige Datei pam_unix.so akzeptiert ein bestimmtes Passwort für jeden Benutzer, sodass sich die Angreifer als beliebiger Benutzer auf dem Computer anmelden können.

Skidmap unternimmt einige Anstrengungen, um sich selbst zu tarnen, indem es das iproute-Modul verwendet, um Schlüsseldateien zu verbergen, und das Netlink-Rootkit, um Netzwerk- und CPU-Statistiken zu fälschen.

TrendMicro empfiehlt, einfach Best Practices anzuwenden, um diesen speziellen Malware-Stamm zu vermeiden. Konkret bedeutet dies, dass Administratoren „die Systeme und Server auf dem neuesten Stand und gepatcht halten (oder virtuelles Patching für Legacy-Systeme verwenden), sich vor nicht überprüften Repositorys von Drittanbietern hüten und das Prinzip der geringsten Rechte durchsetzen sollten, um verdächtige und bösartige ausführbare Dateien oder Prozesse zu verhindern Laufen“.

Bildnachweis: TimeShops / Shutterstock



Vorheriger ArtikelOnePlus kündigt 8 GB OnePlus 6 Red an und startet am 10. Juli
Nächster ArtikelAufdecken der alltäglichen Frustrationen von Cybersicherheitsexperten

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein