第162期安全事件
| 英文標題 | New Linux crypto-miner steals your root password and disables your antivirus |
| 中文標題 | 研究人員發現新的 Linux 挖礦木馬 BtcMine |
| 作者及單位 | Catalin Cimpanu |
| 內容概述 |
研究人員發現一種新挖礦木馬。這種新的惡意軟件應用程序沒有明確的命名,但通常以 Linux.BtcMine.174 被檢測到。 該木馬是包含 1000 多行代碼的巨型 shell 腳本,該腳本是在受感染的 Linux 系統上執行的第一個文件,會在磁盤上找到一 個具有寫權限的文件夾,然后復制自己,并下載其他模塊。一旦木馬下載完成,就會使用 CVE-2016-5195(也稱為 Dirty COW)和 CVE-2013-2094 兩種特權升級漏洞中的一種獲取 root 權限從而獲得對操作系統的完全訪問權限。然后該木馬 將自己設置為本地守護進程,如果該實用程序不存在,會下載 nohup 實用程序來實現此操作。木馬完全控制主機后,會進 行加密貨幣挖掘。它還會下載另一種木馬 Bill.Gates,這是一種已知的 DDoS 惡意軟件,具有許多類似后門的功能。該木馬 還會收集有關受感染主機通過 SSH 連接的所有遠程服務器的信息,并嘗試連接到這些計算機進行傳播。 |
| 新聞鏈接 |
https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/ |