شناسایی بدافزار استخراج‌گر جدید رمزارز در لینوکس
کد مطلب: 15073
تاریخ انتشار : سه شنبه ۲۳ بهمن ۱۳۹۷ ساعت ۱۲:۵۶
 
بدافزار استخراج ارز دیجیتال تازه‌ای کشف شده‌است که پلتفرم لینوکس را هدف گرفته‌است.
شناسایی بدافزار استخراج‌گر جدید رمزارز در لینوکس
 
 
Share/Save/Bookmark
بدافزار استخراج ارز دیجیتال تازه‌ای کشف شده‌است که پلتفرم لینوکس را هدف گرفته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گونه‌ جدیدی از بدافزار استخراج ارز دیجیتال کشف شده‌است که پلتفرم لینوکس را هدف قرار داده و استخراج‌گر ارز دیجیتال Cryptonate XMR-Stak را روی آن نصب می‌کند. این بدافزار به جست‌وجو و از بین بردن سایر بدافزارهای لینوکس و استخراج‌کننده‌های موجود در دستگاه آسیب‌دیده نیز می‌پردازد.

این اسکریپت مخرب استخراج ارز دیجیتال در یکی از هانی‌پات‌های ترندمیکرو شناسایی شده‌است و بر اساس بررسی‌ها، برخی قسمت‌های کد آن با بدافزار Xbash مشترک بوده و ساختار آن بسیار نزدیک به استخراج‌گر ارز دیجیتال KORKERDS است. این نسخه از Korkerds از روت‌کیت‌ها برای پنهان‌کردن خود استفاده نمی‌کند، بلکه استخراج‌گر Stratum XMR-Stak را دانلود می‌کند که از CPU یا GPU سیستم برای یافتن ارزهای Cryptonight استفاده‌می‌کند.

اسکریپت اولیه یک فایل crontab را به‌عنوان بخشی از مرحله اول نفوذ دانلود می‌کند که برای اجرای فاز بعدی که شامل سه تابع است، استفاده خواهدشد:

• تابع B، تمام بدافزارها و استخراج‌گرهای ارز دیجیتال و تمام خدمات مرتبط با بدافزارها را از بین می‌برد. این تابع همچنین دایرکتوری‌ها و فایل‌های جدیدی ساخته و فرایندهای مرتبط با آدرس‌های IP شناسایی شده را متوقف می‌کند.

• تابع D کد باینری استخراج‌گر ارز دیجیتال را دانلود کرده و آن را اجرا می‌کند.

• تابع C اسکریپتی را دانلود کرده و آن را در فایل /usr/local/bin/dns ذخیره می‌کند سپس crontab جدیدی ایجاد می‌کند تا این اسکریپت را در ساعت ۱ صبح فراخوانی کند.

در این مرحله، بدافزار برای از بین بردن رد خود از پاک کردن لاگ سیستم اطمینان حاصل کرده و همچنین با استفاده از فایل‌هایcrontab جاسازی شده، از حذف شدن خود پس از راه‌اندازی مجدد و یا حذف فایل‌ها جلوگیری می‌کند. مرحله دوم نفوذ این بدافزار از چندین دوربین IP و سرویس‌های وب پورت TCP 8161 آغاز می‌شود.

تفاوت اصلی عملکرد این بدافزار و KORKERDS این است که در این بدافزار، اسکریپت جدید فقط یک فایل crontab را وارد می‌کند که کل کد و استخراج‌گر را در بر دارد در‌حالی‌که KORKERDS ،crontab را به‌طور مستقیم ذخیره می‌کند.
مرجع : مرکز مدیریت راهبردی افتا