Linux.BtcMine.174 nakarmi twojego Linuksa sucharami

Nowe zagrożenia bezpieczeństwa są rzeczą wymagającą podwojonej czujności. Tym bardziej, jeśli dotyczą one masowo stosowanego Linuksa. I to niezależnie od tego, czy jest on sercem i duszą naszych serwerów, czy występuje u nas w formie systemu codziennego użytku.

A nowe zagrożenie jakie się pojawiło ma złowróżebną w swojej nijakości nazwę Linux.BtcMine.174. Badania wykazały jednak, że jest to dość skomplikowany i przebiegły szkodnik który awansował tym samym do miana trojana. Ale po kolei.

Linux.BtcMine.174 jest gigantycznym skryptem, który za pomocą swoich 1000 linii kodu spróbuje zainfekować system oraz rozprzestrzeniać się. Aby się aktywować, skrypt potrzebuje katalogu do którego będzie mógł zapisywać dane. Jeśli znajdzie takowy, pobiera moduły, dodatki i kolejnym krokiem jest próba przejęcia praw roota. Gdy i to się uda, skrypt przeprowadza operacje zakrojone na szeroką skalę. Deaktywuje oprogramowanie antywirusowe (safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord), instaluje trojan Bill.Gates, który umożliwia przeprowadzenie ataków DDOS oraz wstawia mnóstwo furtek do naszego systemu. Następnie trojan upewnia się, że znajduje się w autostarcie (etc/rc.local, /etc/rc.d/, /etc/cron.hourly) i pobiera oprogramowanie służące do wyliczania kryptowaluty Monero. Przy okazji niszczy inne podobne aktywności konkurencyjnego oprogramowania złośliwego.

No dobrze, wygląda to wszystko bardzo profesjonalnie i sprytnie. Ale jak trojan może dostać się do naszego systemu? Okazało się, że wykorzystuje on SSH i hasła z zarażonych systemów, aby przenosić się dalej. A jak skrypt próbuje zostać rootem? Za pomocą podatności sprzed kilku lat – CVE-2016-5195 alias „Dirty Cow” oraz CVE-2013-2094 alias „Semtex”. Jak widzimy, są to zagrożenia które zostały załatane w kernelu Linuksowych w 2013 i 2016 roku. Trojan dogada się zatem tylko z systemami nieaktualizowanymi od lat.

Jak się upewnić, że jesteśmy bezpieczni? Dr.Web, rosyjska firma zajmująca się bezpieczeństwem i jednocześnie odkrywca tego zjawiska, umieściła na Githubie kody SHA1 plików wykorzystywanych przez Linux.BtcMine.174. Dodatkowo działanie szkodnika zostało opisane w fachowy sposób pod tym adresem.

Czy musimy się martwić? Wszyscy którzy liczyli na ponurego kosiarza o bezwzględnej skali rażenia muszą się czuć zawiedzeni. Nie dość, że musimy mieć stary kernel (podatny na wspomniane zagrożenia), to dodatkowo należy wystarać się o działającą usługę SSH.  

12 komentarzy

  1. Coś nie do końca tu ogarniam.
    Skoro trojan opisywany jest jako nowe zagrożenie, ale wymierzony w podatności załatane kilka lat temu… to w kogo to cudo jest wymierzone w takim razie?

    Przestępcy to ludzie zdecydowanie praktyczni, więc jakiego typu sprzętu o wymienionych parametrach jest w użyciu tak dużo? Serwerów?

  2. Zdecydowanie są to atrakcje nastawione głównie na serwery. Regułom bowiem jest zasada „działa, to nie ruszamy”. I takie serwery potrafią serwować dane z wykorzystaniem wiekowych rozwiązań. Jednak wątpię czy jednocześnie regułą jest setka kont ssh na takiej maszynie – a wirus inaczej się sam nie rozprzestrzeni.

  3. Cóż robak nie powstał od tak sobie. Ktoś przeanalizował sytuację panującą w wielkich korporacjach i doszedł do wniosku, że coś jeszcze można na tym rynku ugrać. Mało która firma w końcu instaluje i restartuje systemy/usługi zaraz po tym jak wyjdzie aktualizacja konkretnego komponentu. A jak pokazuje przykładu chmury od Amazonu restart sporej serwerowni może zająć nawet parę godzin – tym bardziej jeżeli serwer nie był restartowany przez parę miesięcy/lat.

  4. @tukiendorf:disqus
    @salvadhor:disqus

    No to ma sens, jestem w stanie zrozumieć niechęć adminów do ruszania rozbudowanych serwerów, póki działają. Sam mam problem się zebrać do reinstalacji systemu na komputerze domowym, co około 3 lata.

  5. Kolejne pytanie laika z mojej strony.
    Używa ktoś z was antywirusa na zwykłym, domowym komputerze z Linuksem?

    Ja kiedyś nawet próbowałem używać bodajże ClamAV, ale wykrywał cokolwiek wyłącznie w plikach cache przeglądarek. Więc zabroniłem zapisywać cache na stałe i przestałem używać antywirusa. Z tego co zaobserwowałem, nigdy żaden robak mi się na komputer nie zawieruszył.

  6. Na domowym nie mam nic, ale na firmowym już tak. Chodzi nie tyle o możliwą infekcję na linuksie, ale o skanowanie plików jakie do mnie trafiają i potem np. idą dalej.

  7. No to tak jak i ja, w firmie mam, w domu nie.

    Już zaczęło mi się zdawać że ze mną coś nie tak, bo nie używam antywira. ;D

  8. Skoro mi skanuje (jak chcę, bo nie mam go ustawionego na stałe) to, co chcę, a u Ciebie tylko pliki tymczasowe (o ile dobrze rozumiem), to raczej problem w ustawieniu odpowiednich parametrów skanowania.

  9. Nie, nie do końca się zrozumieliśmy.
    Mi skanuje wszystkie wskazane mu miejsca, ale ewentualne zagrożenia znajduje jak już, to wyłącznie w cache przeglądarek.

    To po grzyba mam go używać? Prościej i lżej dla systemu mi było włączyć czyszczenie cache przy każdym zamknięciu przeglądarki.

  10. No to w istocie nie zrozumieliśmy się. Skoro znajduje w cache przeglądarek, to oznacza, że tam coś nieprzyjemnego jest. I masz rację – czyszczenie cache przeglądarki usunie taki plik z zagrożeniem. Problemem może być ewentualnie brak ochrony podczas używania przeglądarki, bo wówczas nic nie chroni, a bóg jeden raczy wiedzieć co tam paskudnego (i czy to w istocie paskudne dla naszych systemów) jest.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Post comment

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.