Doctor Web安全研究人员发现了一种专门用于提取加密货币的木马,它可以感染其他网络设备并删除系统中运行的防病毒软件。该木马被命名为Linux.BtcMine.174,是一个用shell语言编写的脚本,包含1000多行代码。
恶意软件由多个组件组成。在启动时,木马首先会检查C2服务器的可用性,然后从C2服务器下载其他需要的模块,并在磁盘上搜索具有写入权限的文件夹,然后加载这些模块。之后,脚本将移动到先前选择的名为diskmanagerd的文件夹,并作为守护程序重新启动。该木马会使用nohup程序。如果nohup不在系统中,木马就会自动下载并安装包含nohup的coreutils实用程序包。
在设备上的安装成功后,恶意脚本会下载一个特洛伊木马程序Linux.BackDoor.Gates.9。该系列的后门允许执行来自攻击者的命令并发起DDoS攻击。
后门安装后,恶意软件会在系统中检查是否存在其他加密货币ku软件,检测到后执行其他流程。如果没有具有root权限的用户启动该木马,就会使用一组漏洞利用来进行权限提升。Doctor Web分析师发现了至少两个被该攻击者利用的漏洞:CVE-2016-5195(又名DirtyCow)和CVE-2013-2094。同时,木马会直接从网上下载DirtyCow的漏洞利用代码,并在受感染的计算机上编译。
恶意软件会尝试寻找名为safedog,aegis,yunsuo,clamd,avast,avgd,cmdavd,cmdmgd,drweb-configd,drweb-spider-kmod,esets和xmirrord的防病毒服务。如果检测到这些进程,恶意软件不仅会终止防病毒进程,还会在程序包管理器中删除其文件以及安装防病毒产品的目录。
该木马在启动时会进行注册,在受感染的设备上下载并启动rootkit。在rootkit模块的功能中,您可以突出显示用户提供的su命令密码被盗,隐藏文件系统中的文件,网络连接和运行进程。该木马收集有关先前通过ssh协议连接并尝试感染它们的网络节点的信息。
完成所有以上步骤后,特洛伊木马最终在系统中启动了Monero加密货币(XMR)ku机。恶意软件每隔一分钟会检查此挖机机是否处于运行状态,并在必要时自动重启。木马还以连续循环方式连接到管理服务器,并从那里下载更新。