พบมัลแวร์ตัวใหม่ฟีเจอร์ครบครันมุ่งโจมตีผู้ใช้งาน Linux

Dr.Web ผู้ให้บริการ Antivirus จากรัสเซียได้พบมัลแวร์โทรจันตัวใหม่ที่มีความสามารถหลากหลายและโจมตีอยู่บนระบบปฏิบัติการ Linux อย่างไรก็ตามยังไม่มีการตั้งชื่อเรียกอย่างเป็นทางการเพียงแต่ให้ชื่อติดตามว่า ‘LinuxBtcMine174’ โดยจุดประสงค์คือการฝังตัวและขุดเหมืองบนเครื่องผู้ใช้งาน อีกทั้งยังสามารถสแกนหาเครื่องที่เชื่อมต่อกันผ่านทาง SSH ได้อีกด้วย

LinuxBtcMine174 เป็นมัลแวร์บน Linux ที่มีความสามารถปฏิบัติการครบเครื่องกว่ามัลแวร์ทั่วไปซึ่งเริ่มด้วยโค้ดยาวกว่า 1,000 บรรทัดที่จะถูก Execute ในเครื่องที่ติดมัลแวร์และสิ่งที่พบคือ

1.มัลแวร์จะเข้าไปหาโฟลเดอร์บนดิสก์ที่มีสิทธิ์เขียนเพื่อจะทำสำเนาตัวเองและไฟล์อื่นที่จะดาวน์โหลดตามมาเข้าไปได้

2.ใช้ 2 ช่องโหว่เพื่อยกระดับสิทธิ์เข้าถึงทั้งระบบคือ CVE-2016-5195 (ชื่อเรียกคือ Dirty COW) และ CVE-2013-2094

3.ตั้งตัวเองเป็น Local Daemon (คำเรียกโปรเซสที่รันอยู่เบื้องหลังในระบบ Linux หรือ Unix) และดาวน์โหลด nohub utilities

4.สามารถสแกนหาและปิดโปรเซสของมัลแวร์คู่แข่ง(หลายตัว)ที่กำลังขุดเหมืองอยู่จากนั้นจะดาวน์โหลดและเริ่มขุดเหมือง Monero ของตัวเอง

5.ดาวน์โหลดโทรจันที่ชื่อ BillGates ที่สามารถทำการ DDoS ได้เข้ามาเพิ่ม

6.สามารถดูโปรเซสที่อาจเป็นโซลูชันด้าน Antivirus ได้หลายเจ้าและ Kill โปรเซสเหล่านั้น ซึ่ง Dr.Web พบว่ามัลแวร์สามารถหยุดโปรเซส เช่น Safedog, Aegis, Yuanso, Clamd, Avast, Avgd, Cmdavd, Arweb-configd, Dwweb-sperder-kmod, Esets, Xmirrord ได้

7.เพิ่มตัวเองเข้าไปในส่วน Autorun เช่น /etc/rc.local, etc/rc.d, etc/cron.hourly เป็นต้นเพื่อดาวน์โหลดและรัน Rookit ซึ่งมีฟีเจอร์ที่หนักหน่วงกว่า เช่น ขโมยรหัสผ่านในคำสั่ง Su ของผู้ใช้ ,ซ่อนไฟล์และการเชื่อมต่อเครือข่าย รวมถึงโปรเซสที่รันอยู่ได้ด้วย

8.สามารถเก็บข้อมูลของเซิร์ฟเวอร์ที่เชื่อมต่ออยู่ผ่าน SSH ได้ด้วย รวมถึงมีความพยายามที่จะเจาะเข้าไปทางนั้นเพื่อกระจายตัวเองไปยังเครื่องอื่นอีกด้วย

อย่างไรก็ตามสำหรับผู้สนใจทาง Dr.Web ได้อัปโหลด SHA1 ของมัลแวร์ตัวนี้ไว้แล้วบน GitHub ให้ลองนำไปตรวจสอบกันได้ และสามารถอ่านรายงานฉบับเต็มได้ที่นี่

ที่มา : https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/