Россияне нашли ПО для майнинга, которое убивает антивирусы и майнеров-конкурентов

Софт Безопасность Бизнес
мобильная версия
, Текст: Роман Георгиев

Криптомайнер Linux.BtcMine.174 уничтожает и файлы, и папки, в которые были установлены антивирусные продукты, а заодно деактивирует процессы других криптомайнеров.


Криптокомбайн

Эксперты российской компании Dr. Web обнаружили новый криптомайнер под Linux, для которого характерна многокомпонентная структура и широкий диапазон функций. Среди прочего, эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Кроме того, она удаляет из системы другие программы для майнинга криптовалют.

Криптомайнер, получивший обозначение Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

При первом запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и ищет на диске папку с правами на запись, в которую и будут загружены эти модули.

После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве так называемого демона. Для этого троянец использует утилиту nohup. Если ее в системе нет, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

Новый модульный криптомайнер под Linux убивает антивирусы и конкурентов

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Конкурентам здесь не место

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы.

Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов; аналитикам Dr. Web удалось выявить как минимум два: Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

Dirty COW — весьма известная уязвимость в ядре Linux, позволяющая повышать привилегии в системе. Выявленная в конце весны 2016 г., она на самом деле затрагивала все версии ядра, начиная с 2.6.22 (2007 г.). В версиях 4.8.3, 4.7.9 и 4.4.26 «баг» был исправлен, но не сразу. Первый патч, датированный 2016 г., закрывал уязвимость не полностью, так что в ноябре 2017 г. вышел новый патч.

При этом Dirty COW до сих пор активно эксплуатируется, и, как можно заметить, небезуспешно.

Антивирусам бой

Среди прочего Linux.BtcMine.174 способен убивать антивирусы, функционирующие в системе. Для этого он пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.

В случае их обнаружения троянец не просто завершает процесс антивируса, но «выкорчевывает» все файлы и директорию, в которой был установлен антивирусный продукт, с помощью пакетных менеджеров.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит.

Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Руткит способен красть вводимые пользователем пароли, скрывать файлы в файловой системе и т. д. Троянец также собирает информацию о сетевых узлах, к которым ранее подключались по протоколу SSH, и пробует заразить их. По всей видимости, это основной способ распространения вредоноса.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). Функционирование майнера производится раз в минуту, при необходимости программа перезапускает его заново. Соединения с управляющим сервером непрерывны, что в теории позволяет обнаружить его деятельность. Впрочем, эксперты Dr. Web опубликовали все известные к настоящему времени индикаторы заражения.

«Данная вредоносная программа выглядит как попытка создать криптомайнер с исчерпывающим набором функций, обеспечивающих постоянное его функционирование, которому ничто не будет мешать, — говорит Тарас Татаринов, эксперт по информационной безопасности компании “Информационные технологии будущего”. — Судя по всему злоумышленники в основном рассчитывали на использование майнером рабочих станций и серверов, обслуживанием которых занимаются мало, если занимаются вообще. Данный майнер особенно и не пытается скрывать свое присутствие в системе: исчезновение антивируса из регулярно используемой машины будет замечено очень быстро, не говоря уже о том, что все криптомайнеры чрезвычайно прожорливы в отношении вычислительных мощностей, и уже этим быстро выдают себя».