Linux.BtcMine.174 nakarmi twojego Linuksa sucharami

Nowe zagrożenia bezpieczeństwa są rzeczą wymagającą podwojonej czujności. Tym bardziej, jeśli dotyczą one masowo stosowanego Linuksa. I to niezależnie od tego, czy jest on sercem i duszą naszych serwerów, czy występuje u nas w formie systemu codziennego użytku.

A nowe zagrożenie jakie się pojawiło ma złowróżebną w swojej nijakości nazwę Linux.BtcMine.174. Badania wykazały jednak, że jest to dość skomplikowany i przebiegły szkodnik który awansował tym samym do miana trojana. Ale po kolei.

Linux.BtcMine.174 jest gigantycznym skryptem, który za pomocą swoich 1000 linii kodu spróbuje zainfekować system oraz rozprzestrzeniać się. Aby się aktywować, skrypt potrzebuje katalogu do którego będzie mógł zapisywać dane. Jeśli znajdzie takowy, pobiera moduły, dodatki i kolejnym krokiem jest próba przejęcia praw roota. Gdy i to się uda, skrypt przeprowadza operacje zakrojone na szeroką skalę. Deaktywuje oprogramowanie antywirusowe (safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord), instaluje trojan Bill.Gates, który umożliwia przeprowadzenie ataków DDOS oraz wstawia mnóstwo furtek do naszego systemu. Następnie trojan upewnia się, że znajduje się w autostarcie (etc/rc.local, /etc/rc.d/, /etc/cron.hourly) i pobiera oprogramowanie służące do wyliczania kryptowaluty Monero. Przy okazji niszczy inne podobne aktywności konkurencyjnego oprogramowania złośliwego.

No dobrze, wygląda to wszystko bardzo profesjonalnie i sprytnie. Ale jak trojan może dostać się do naszego systemu? Okazało się, że wykorzystuje on SSH i hasła z zarażonych systemów, aby przenosić się dalej. A jak skrypt próbuje zostać rootem? Za pomocą podatności sprzed kilku lat – CVE-2016-5195 alias „Dirty Cow” oraz CVE-2013-2094 alias „Semtex”. Jak widzimy, są to zagrożenia które zostały załatane w kernelu Linuksowych w 2013 i 2016 roku. Trojan dogada się zatem tylko z systemami nieaktualizowanymi od lat.

Jak się upewnić, że jesteśmy bezpieczni? Dr.Web, rosyjska firma zajmująca się bezpieczeństwem i jednocześnie odkrywca tego zjawiska, umieściła na Githubie kody SHA1 plików wykorzystywanych przez Linux.BtcMine.174. Dodatkowo działanie szkodnika zostało opisane w fachowy sposób pod tym adresem.

Czy musimy się martwić? Wszyscy którzy liczyli na ponurego kosiarza o bezwzględnej skali rażenia muszą się czuć zawiedzeni. Nie dość, że musimy mieć stary kernel (podatny na wspomniane zagrożenia), to dodatkowo należy wystarać się o działającą usługę SSH.