針對 Linux 平臺的惡意軟件,可能不像 Windows 平臺那麼普遍。但隨著時間的推移,它們正在變得越來越複雜、功能也更加多樣。
近日,俄羅斯反病毒軟件廠商 Dr.Web 發現了一種新型木馬。鑑於其沒有特定的應用程序名,所以暫且用 Linux.BtcMine.174 來指代。與大多數 Linux 惡意軟件相比,它的複雜程度明顯要更高,因為其中包含了大量的惡意功能。
該木馬本身是一個包含 1000 多行代碼的巨型 shell 腳本,也是能在受感染的 Linux 系統上執行的第一個文件。
它所做的第一件事,就是尋找磁盤上某個具有寫入權限的文件夾,這樣它就可以複製自己、然後用於下載其它模塊。
一旦木馬在受害系統上站穩了腳跟,就會利用 CVE-2016-5195(又稱 Dirty COW)和 CVE-2013-2094 兩個特權提升漏洞中的一種。
在獲取了 root 權限之後,它就擁有了對操作系統的完整訪問權限,然後該木馬將自己設為本地守護進程。
如果程序尚不存在,它甚至可以自行下載 nohup 工具來實現這一點。在牢牢掌握了受感染的主機之後,它會繼續執行其設計的主要功能 —— 加密貨幣挖礦!
此外,它還會下載並運行另一款惡意軟件 —— 被稱作比爾·蓋茨木馬的 DDoS 木馬 —— 後者亦帶有許多類似的後門功能。
你以為這就完了?Dr. Web 指出,Linux.BtcMine.174 還會查找基於 Linux 的殺毒軟件進程名稱,並終止其執行。 受害者包括:
safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets、以及 xmirrord 。
更加喪心病狂的是,惡意攻擊者對此還不滿意—— 甚至為自己製作了一份自動運行項文件,將之放到 /etc/rc.local、/etc/rc.d/、/etc/cron.hourly 等路徑,下載並運行 rootkit 。
專家表示,該 rootkit 組件在功能上更具侵入性,能夠竊取用戶在使用 su 命令時輸入的密碼,並隱藏文件系統、網絡連接、以及運行進程中的文件。
此外,Linux.BtcMine.174 會運行一個功能,收集有關受感染主機通過 SSH 連接的所有遠程服務器信息、並嘗試連接,以便將自身傳播到更多的系統。
這種 SSH 自擴展機制,被認為是該木馬的主要分發渠道。
因其還依賴於竊取有效的 SSH 憑據,意味著某些 Linux 系統管理員即便再小心、正確地保護其服務器的 SSH 連接、並且只允許特定數量的主機連接,他們也可能在不經意間感染其中一個、然後喜迎“惡意軟件全家桶”。
Dr.Web 已在 GitHub上晾出了該木馬各組件的 SHA1 文件哈希值,以方便系統管理員掃描他們的系統是否存在這種相對較新的威脅。
有關該惡意軟件的更多細節,可移步至這裡查看:
https://vms.drweb.com/virus/?i=17645163
[編譯自:ZDNet, via:Softpedia]
閱讀更多 cnBeta 的文章
