Skidmap е новият маулер, който излиза на хоризонта, заразявайки Linux машини, за да копае криптовалута.
Новият Linux малуер Skidmap е открит от специалистите от компанията TrendMicro, които съобщават, че вирусът копае криптовалута, но изпълнява и други опасни функции.
Машината се заразява посредством зареждането на модули на ядрото (LKM), след което се инсталират рууткитовете, които правят така, че Skidmap трудно може да бъде открит и отстранен, което се дължи на възможностите му да презаписва различни части от ядрото, а също така и да го модифицира.
За заразяването се използва crontab, а веднъж проникнал в системата на жертвата, вирусът инсталира зловредни бинарни файлове, които понижават нивото на защита, за да може да се изпълни задачата по копаенето на криптовалута. Освен това специалистите са открили, че малуерът осигурява backdoor достъп до системата, създавайки тайна главна (master) парола, която дава възможност за неоторизиран достъп и действия на всекиго.
Skidmap заразява Debian/Ubuntu-базирани системи, както и Red Hat Enterprise Linux/CentOS системи. Извършва се инициализация на операционната система и в случай, че вирусът разбере, че се намира на машина с Debian/Ubuntu-базирана дистрибуция, той заразява системата, разполагайки зловредните си файлове в „/tmp/miner2“. Ако разбере, че се намира в Red Hat Enterprise Linux/CentOS система, той изтегля зловредните файлове от отдалечен адрес.
В допълнение на това малуерът осигурява и още един начин за неоторизиран достъп до системата като замества pam_unix.so файла с негов зловреден вариант, идентифициран като „Backdoor.Linux.PAMDOR.A.“ По този начин атакуващите могат да достъпят машината с всеки един потребител (user).
Съобщава се и за допълнителни зловредни дейности чрез инсталирането на различни LKM, фалшиви „rm“ бинарни файлове, Iproute модул, Netlink рууткит за фалшифициране на мрежовите статистики.
Специалистите от TrendMicro обясняват, че Skidmap използва сложни техники, които правят засичането му трудно, които също така го правят и по-трудно отстраним в сравнение с други Linux вируси. Той използва различни механизми за достъп до машините, което означава, че може отново да зарази вече обеззаразена машина.
Като предпазна мярка администраторите биват съветвани да поддържат системите винаги актуализирани, с инсталирани всички възможни кръпки по сигурността, а старите системи да използват virtual patching. Трябва да се избягват непроверени хранилища от трети страни и да се използват добри практики за ограничаване на потребителските права.
Значи арчърите можем да сме спокойни. 😀