Breaking News

พบมัลแวร์ตัวใหม่ฟีเจอร์ครบครันมุ่งโจมตีผู้ใช้งาน Linux

Dr.Web ผู้ให้บริการ Antivirus จากรัสเซียได้พบมัลแวร์โทรจันตัวใหม่ที่มีความสามารถหลากหลายและโจมตีอยู่บนระบบปฏิบัติการ Linux อย่างไรก็ตามยังไม่มีการตั้งชื่อเรียกอย่างเป็นทางการเพียงแต่ให้ชื่อติดตามว่า ‘LinuxBtcMine174’ โดยจุดประสงค์คือการฝังตัวและขุดเหมืองบนเครื่องผู้ใช้งาน อีกทั้งยังสามารถสแกนหาเครื่องที่เชื่อมต่อกันผ่านทาง SSH ได้อีกด้วย

LinuxBtcMine174 เป็นมัลแวร์บน Linux ที่มีความสามารถปฏิบัติการครบเครื่องกว่ามัลแวร์ทั่วไปซึ่งเริ่มด้วยโค้ดยาวกว่า 1,000 บรรทัดที่จะถูก Execute ในเครื่องที่ติดมัลแวร์และสิ่งที่พบคือ

1.มัลแวร์จะเข้าไปหาโฟลเดอร์บนดิสก์ที่มีสิทธิ์เขียนเพื่อจะทำสำเนาตัวเองและไฟล์อื่นที่จะดาวน์โหลดตามมาเข้าไปได้

2.ใช้ 2 ช่องโหว่เพื่อยกระดับสิทธิ์เข้าถึงทั้งระบบคือ CVE-2016-5195 (ชื่อเรียกคือ Dirty COW) และ CVE-2013-2094

3.ตั้งตัวเองเป็น Local Daemon (คำเรียกโปรเซสที่รันอยู่เบื้องหลังในระบบ Linux หรือ Unix) และดาวน์โหลด nohub utilities

4.สามารถสแกนหาและปิดโปรเซสของมัลแวร์คู่แข่ง(หลายตัว)ที่กำลังขุดเหมืองอยู่จากนั้นจะดาวน์โหลดและเริ่มขุดเหมือง Monero ของตัวเอง

5.ดาวน์โหลดโทรจันที่ชื่อ BillGates ที่สามารถทำการ DDoS ได้เข้ามาเพิ่ม

6.สามารถดูโปรเซสที่อาจเป็นโซลูชันด้าน Antivirus ได้หลายเจ้าและ Kill โปรเซสเหล่านั้น ซึ่ง Dr.Web พบว่ามัลแวร์สามารถหยุดโปรเซส เช่น Safedog, Aegis, Yuanso, Clamd, Avast, Avgd, Cmdavd, Arweb-configd, Dwweb-sperder-kmod, Esets, Xmirrord ได้

7.เพิ่มตัวเองเข้าไปในส่วน Autorun เช่น /etc/rc.local, etc/rc.d, etc/cron.hourly เป็นต้นเพื่อดาวน์โหลดและรัน Rookit ซึ่งมีฟีเจอร์ที่หนักหน่วงกว่า เช่น ขโมยรหัสผ่านในคำสั่ง Su ของผู้ใช้ ,ซ่อนไฟล์และการเชื่อมต่อเครือข่าย รวมถึงโปรเซสที่รันอยู่ได้ด้วย

8.สามารถเก็บข้อมูลของเซิร์ฟเวอร์ที่เชื่อมต่ออยู่ผ่าน SSH ได้ด้วย รวมถึงมีความพยายามที่จะเจาะเข้าไปทางนั้นเพื่อกระจายตัวเองไปยังเครื่องอื่นอีกด้วย

อย่างไรก็ตามสำหรับผู้สนใจทาง Dr.Web ได้อัปโหลด SHA1 ของมัลแวร์ตัวนี้ไว้แล้วบน GitHub ให้ลองนำไปตรวจสอบกันได้ และสามารถอ่านรายงานฉบับเต็มได้ที่นี่

ที่มา : https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก

รหัสผ่านความยาว 8 ตัวอักษรไม่ปลอดภัยอีกต่อไป อาจถูกถอดได้ในเวลาเพียง 2.5 ชั่วโมง

ทีมพัฒนา HashCat ได้ออกมาเล่าถึงประสิทธิภาพของ HashCat 6.0.0 Beta ที่ใช้การ์ดจอ Nvidia GTX 2080Ti จำนวน 8 ชุด ซึ่งสามารถถอดรหัสผ่านสำหรับ NTLM ได้ด้วยความเร็ว 100 Gigahashes per Second (GH/s) หรือเรียกง่ายๆ ว่ารหัสผ่านความยาว 8 ตัวอักษรนั้นสามารถถูกถอดได้ภายในเวลาประมาณ 2.5 ชั่วโมง