Malware τύπου Cryptocurrency-Mining στοχεύει το Linux και χρησιμοποιεί Rootkit ως λειτουργία απόκρυψης

Είναι γνωστό ότι όσο περνάει ο καιρός τα λειτουργικά συστήματα εξελίσσονται, το ίδιο και οι τεχνικές ασφαλείας, το ίδιο όμως και οι τεχνικές επίθεσης. Οι κυβερνο-εγκληματίες, όπως έχει επικρατήσει να τους λέμε, ψάχνουν και βρίσκουν νέους τρόπους για να εισέλθουν σε λειτουργικά συστήματα και να τα εκμεταλλεύονται προς όφελος τους.

Το κακόβουλο λογισμικό (Malware) τύπου Cryptocurrency-Mining (Crypto-Miner) στοχεύει σε όλων των ειδών τους υπολογιστές και τα λειτουργικά συστήματα, με έμφαση τους Servers, διότι οι τελευταίοι λειτουργούν κατά βάση 24/7 και αυτό βολεύει, επειδή ο Crypto-Miner θα εργάζεται περισσότερες ώρες με πιθανότερα θετικά αποτελέσματα.

Τι ζητά όμως ένας κυβερνό-εγκληματίας που κάνει εγκατάσταση ένα Malware τύπου Crypto-Miner; Η απάντηση είναι απλή εάν γνωρίζουμε τι είναι το Cryptocurreny και τι το Mining. Θα σας παραπέμψω στη σελίδα BitcoinX.gr στην οποία μπορείτε να διαβάσετε σχετικά.

Η εταιρία Trend Micro ανακοίνωσε πρόσφατα ότι ανακάλυψε ένα τέτοιο κακόβουλο λογισμικό (τύπου Crypto-Miner) το οποίο στοχεύει κυρίως λειτουργικά συστήματα Linux, αλλά όχι μόνο.
Δεν είναι βέβαια η πρώτη φορά που γίνεται κάτι τέτοιο, αν ψάξετε σχετικές δημοσιεύσεις θα βρείτε αρκετές που αφορούν παρόμοιες αναφορές για Malware και Crypto-Miners. Το ότι στοχεύουν το Linux επίσης δεν είναι η πρώτη φορά ούτε είναι τυχαίο, καθώς όπως είπαμε παραπάνω δίνουν έμφαση σε Servers και το μεγαλύτερο ποσοστό των Servers παγκοσμίως «τρέχει» σε κάποια διανομή Linux.

Αυτό που είναι διαφορετικό αυτή τη φορά είναι το Stealth Mode που χρησιμοποιεί το συγκεκριμένο Malware. Δηλαδή ο τρόπος να αποκρύπτει τον εαυτό του από το σύστημα και τους διαχειριστές του συστήματος. Σύμφωνα με την Trend Micro το Malware κάνει εγκατάσταση ένα Rootkit το οποίο βοηθάει στη διατήρηση του κακόβουλου λογισμικού, για παράδειγμα μετά από μια επανεκκίνηση, αλλά και στην απόκρυψή του από εργαλεία παρακολούθησης (Monitoring Tools) του συστήματος που πιθανόν να χρησιμοποιήσει ένας διαχειριστής για να ελέγξει τι συμβαίνει.

Αυτό που κάποιος θα καταλάβει είναι η συνεχής χρήση της CPU, με ποσοστά που αγγίζουν το 100%, χωρίς όμως να μπορεί να δει κάποια περίεργη διεργασία. Το κακόβουλο λογισμικό θα είναι κρυμμένο -μεταμφιεσμένο- κάτω από μια αξιόπιστη διεργασία, χωρίς να επιτρέπει στον διαχειριστή του συστήματος να καταλάβει ότι κάτι κακόβουλο έχει εγκατασταθεί και λειτουργεί στο παρασκήνιο.

Ένα άλλο ενδιαφέρον σημείο είναι ότι το συγκεκριμένο Malware μπορεί κάποιος να το εγκαταστήσει χωρίς να το αντιληφθεί. Γίνεται εγκατάσταση μέσα από αξιόπιστες εφαρμογές, που όμως έχει παραποιηθεί κάποια εξάρτηση (dependency) ή κάποιο άλλο λογισμικό από το οποίο εξαρτάται αυτή η εφαρμογή για να λειτουργήσει σωστά, πχ. μια επέκταση (Addon). Αυτό ανοίγει την πόρτα εγκατάστασης και χρήσης του Malware ακόμη και από Desktops απλών χρηστών.

Αναρωτιέμαι άραγε αν η επόμενη εξέλιξη στον κόσμο των Cryptomining Malwares είναι να αποκρύπτουν ακόμη και τη χρήση της CPU που κάνουν.

Την παρουσίαση και την ανάλυση που κάνει η Trend Micro τη βρήκα εξαιρετικά ενδιαφέρουσα, αν και ακόμη δεν έχει ολοκληρωθεί η αναγνώριση (Identification) του συγκεκριμένου Malware. Διαβάστε την εδώ.

4 σκέψεις σχετικά με το “Malware τύπου Cryptocurrency-Mining στοχεύει το Linux και χρησιμοποιεί Rootkit ως λειτουργία απόκρυψης

  1. Αφού ανιχνεύεται απ το clamav τι πιο όμορφα να συνεχίσουμε :)
    Το clamav ενημερώνεται με τη βοήθεια της κοινότητας κάτι για μένα που αξίζει για μια τόσο παλιά προσπάθεια.
    Είναι λογικό στην αρχή ενός malware να φαίνονται όλα «out of the box» αν και νομίζω πως πάντα το clamav θα το ενημερώνει ένα monitoring tool.
    https://www.clamav.net/reports/malware

  2. Μπορείς να κάνεις μια παρουσιάση για κάποια εφαρμογή που ελέγχει το pc για malware?
    Επίσης πως μπορώ να εξετάσω αν κάποιο usb flash έχει μολυσμένα αρχεία των windows?

Συμβάλετε κι εσείς με ένα σχόλιο

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.