Linux-malware steelt root-wachtwoord en schakelt antivirus uit

De Russische antivirusmaker Dr.Web heeft een nieuwe Linux-malware ontdekt die in staat is het root-wachtwoord te stelen, de antivirus uit te schakelen en cryptocurrency te minen. Het kwaadaardig computerprogramma gaat voor nu door het leven onder de detectienaam ‘Linux.BtcMine.174’.

Dat bericht ZDNet. De trojan is complexer dan de meeste Linux-malware en bestaat uit een gigantisch shellscript van meer dan duizend coderegels. Het script is het eerste bestand dat op een geïnfecteerd Linux-systeem wordt uitgevoerd. Het gaat op zoek naar een map op de schijf, waarop het schrijfrechten heeft, zodat het zichzelf kan kopiëren en later kan gebruiken om andere modules te downloaden.

Zodra de trojan voet aan de grond heeft op het systeem, gebruikt het één van twee exploits – CVE-2016-5195 (ook bekend als Dirty COW) of CVE-2013-2094 – voor het verkrijgen van root-rechten en volledige toegang tot het besturingssysteem.

Het kwaadaardig programma stelt zichzelf vervolgens op als lokale ‘daemon’ en downloadt het ‘nohup’-hulpprogramma om deze bewerking te voltooien, als het hulpprogramma nog niet aanwezig is. Een daemon is een term om een proces aan te duiden dat op de achtergrond actief is om bepaalde taken uit te voeren of om diensten te verlenen aan andere computerprogramma’s. In Windows worden zulke achtergrondprogramma’s meestal services genoemd.

Cryptomining

Nadat de trojan eenmaal de door hem geïnfecteerde host in zijn greep heeft, richt het zich op zijn primaire functie: cryptomining. ‘Linux.BtcMine.174’ scant en beëindigt eerst de processen van verschillende rivaliserence cryptomining-malwarefamilies om vervolgens zijn eigen mining-operatie te downloaden en starten.

Verder zou de trojan ook nog de DDoS-malware ‘Bill.Gates trojan’ downloaden, die ook met meerdere backdoorfuncties is ontwikkeld. Ook zoekt het naar procesnamen die geassocieerd zijn met op Linux gebaseerde antivirusoplossingen om de uitvoering ervan te stoppen, voegt de trojan zichzelf toe als een autorun-invoer voor bestanden als /etc/rc.local, /etc/rc.d /… en /etc/cron.hourly, om vervolgens een rootkit te downloaden en uit te voeren.

De kit bevat op zichzelf ook weer tal van kwaadaardige functies, die volgens experts “de mogelijkheid hebben om door gebruikers ingevoerde wachtwoorden voor het ‘su’-commandi te stelen en om bestanden in het bestandssysteem, netwerkverbindingen en actieve processen te verbergen.”

Daarnaast zou de trojan in staat zijn informatie te verzamelen over alle externe servers die de geïnfecteerde host via SSH heeft verbonden en zal het een poging wagen zich ook met deze machines te verbinden met als doel zichzelf te verspreiden. Het zelfverspreidend mechanisme via SSH wordt als het voornaamste distributiekanaal van de trojan beschouwd.

Github

Dr. Web heeft inmiddels SHA1-hashes geüpload op GitHub voor de verschillende componenten van de trojan. Dit voor het geval systeembeheerders hun systemen willen scannen op de aanwezigheid van deze nieuwe bedreiging.

Gerelateerd:  Nieuwe trojan omzeilt meerderheid van antivirusprogramma’s