พบมัลแวร์ตัวใหม่ฟีเจอร์ครบครันมุ่งโจมตีผู้ใช้งาน Linux

Dr.Web ผู้ให้บริการ Antivirus จากรัสเซียได้พบมัลแวร์โทรจันตัวใหม่ที่มีความสามารถหลากหลายและโจมตีอยู่บนระบบปฏิบัติการ Linux อย่างไรก็ตามยังไม่มีการตั้งชื่อเรียกอย่างเป็นทางการเพียงแต่ให้ชื่อติดตามว่า ‘LinuxBtcMine174’ โดยจุดประสงค์คือการฝังตัวและขุดเหมืองบนเครื่องผู้ใช้งาน อีกทั้งยังสามารถสแกนหาเครื่องที่เชื่อมต่อกันผ่านทาง SSH ได้อีกด้วย

LinuxBtcMine174 เป็นมัลแวร์บน Linux ที่มีความสามารถปฏิบัติการครบเครื่องกว่ามัลแวร์ทั่วไปซึ่งเริ่มด้วยโค้ดยาวกว่า 1,000 บรรทัดที่จะถูก Execute ในเครื่องที่ติดมัลแวร์และสิ่งที่พบคือ

1.มัลแวร์จะเข้าไปหาโฟลเดอร์บนดิสก์ที่มีสิทธิ์เขียนเพื่อจะทำสำเนาตัวเองและไฟล์อื่นที่จะดาวน์โหลดตามมาเข้าไปได้

2.ใช้ 2 ช่องโหว่เพื่อยกระดับสิทธิ์เข้าถึงทั้งระบบคือ CVE-2016-5195 (ชื่อเรียกคือ Dirty COW) และ CVE-2013-2094

3.ตั้งตัวเองเป็น Local Daemon (คำเรียกโปรเซสที่รันอยู่เบื้องหลังในระบบ Linux หรือ Unix) และดาวน์โหลด nohub utilities

4.สามารถสแกนหาและปิดโปรเซสของมัลแวร์คู่แข่ง(หลายตัว)ที่กำลังขุดเหมืองอยู่จากนั้นจะดาวน์โหลดและเริ่มขุดเหมือง Monero ของตัวเอง

5.ดาวน์โหลดโทรจันที่ชื่อ BillGates ที่สามารถทำการ DDoS ได้เข้ามาเพิ่ม

6.สามารถดูโปรเซสที่อาจเป็นโซลูชันด้าน Antivirus ได้หลายเจ้าและ Kill โปรเซสเหล่านั้น ซึ่ง Dr.Web พบว่ามัลแวร์สามารถหยุดโปรเซส เช่น Safedog, Aegis, Yuanso, Clamd, Avast, Avgd, Cmdavd, Arweb-configd, Dwweb-sperder-kmod, Esets, Xmirrord ได้

7.เพิ่มตัวเองเข้าไปในส่วน Autorun เช่น /etc/rc.local, etc/rc.d, etc/cron.hourly เป็นต้นเพื่อดาวน์โหลดและรัน Rookit ซึ่งมีฟีเจอร์ที่หนักหน่วงกว่า เช่น ขโมยรหัสผ่านในคำสั่ง Su ของผู้ใช้ ,ซ่อนไฟล์และการเชื่อมต่อเครือข่าย รวมถึงโปรเซสที่รันอยู่ได้ด้วย

8.สามารถเก็บข้อมูลของเซิร์ฟเวอร์ที่เชื่อมต่ออยู่ผ่าน SSH ได้ด้วย รวมถึงมีความพยายามที่จะเจาะเข้าไปทางนั้นเพื่อกระจายตัวเองไปยังเครื่องอื่นอีกด้วย

อย่างไรก็ตามสำหรับผู้สนใจทาง Dr.Web ได้อัปโหลด SHA1 ของมัลแวร์ตัวนี้ไว้แล้วบน GitHub ให้ลองนำไปตรวจสอบกันได้ และสามารถอ่านรายงานฉบับเต็มได้ที่นี่

ที่มา : https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

Cisco Webinar: Cisco Ransomware Defense Webinar โดย Cisco

Cisco ขอเรียนเชิญเหล่าผู้บริหาร, CSO, Security Engineer, ผู้จัดการฝ่าย IT และผู้ดูแลระบบ IT เข้าร่วมงาน Webinar หรือสัมมนาออนไลน์ฟรีในหัวข้อ "Cisco Ransomware Defense Webinar โดย Cisco" เพื่อเรียนรู้ถึงโซลูชันด้าน Security ล่าสุดของ Cisco และการประยุกต์นำมาใช้รับมือกับ Ransomware โดยเฉพาะ ในวันอังคารที่ 9 กรกฎาคม 2019 เวลา 14.00 - 15.30 โดยมีรายละเอียดและวิธีการลงทะเบียนดังนี้