Skidmap es un malware de Cryptomining para Linux

malware

Skidmap es un ejemplo moderno de la sofisticación y el poder de las muestras de malware de Linux.

Linux no es una corriente principal, y muchos piensan que el sistema operativo es la opción más segura cuando se trata de atacar malware. Si bien esto es cierto para los usuarios de computadoras de escritorio, los actores aún buscan aprovechar el gran poder de las granjas de servidores y la infraestructura de la nube que generalmente ejecutan Linux, y ¿qué mejor manera de explotar este poder que hacerlo minar criptomonedas para usted? Skidmap es el último esfuerzo en esa parte, descubierto y analizado por investigadores de Trend Micro que advierten sobre sus capacidades extendidas y su resistencia contra la detección.

Skidmap carga los rootkits en modo kernel para permanecer ocultos para el usuario. Esto es muy diferente a los rootkits en modo de usuario que se ejecutan con privilegios administrativos porque las herramientas de protección no pueden detectarlos fácilmente. La cadena de infección comienza con una instalación crontab, que es un sistema que permite a los usuarios programar la ejecución de comandos. El siguiente paso es descargar y ejecutar el binario principal de Skidmap, deshabilitar el módulo SELinux, o al menos configurarlo en "setenforce 0", lo que lo hace menos estricto, y luego configurar el acceso de puerta trasera. Luego, el malware comprueba si la distribución de Linux infectada se basa en Debian o Red Hat EL / CentOS, y finalmente elimina el minero de criptomonedas apropiado con los componentes que lo acompañan.

Estos componentes adicionales son en su mayoría herramientas para ayudar a Skidmap a ocultar su actividad u ofuscarla. Por ejemplo, "kaudited" es un binario que elimina e instala varios módulos del kernel que ayudan a evitar bloqueos del sistema, que es el principal inconveniente de usar rootkits en modo kernel. Otro ejemplo de un componente malicioso que viene con Skidmap es un binario falso "rm", que configura aleatoriamente trabajos cron y reemplaza el comando legítimo "rm" en el sistema infectado, haciendo imposible eliminar archivos al usarlo. Finalmente, está el módulo "iproute" que engancha "getdents", que un administrador usaría para examinar el contenido de un directorio.

Skidmap puede causar una gran interrupción en los entornos empresariales y puede ser especialmente difícil de detectar o incluso eliminar. Por esta razón, se recomienda a los administradores de sistemas que no confíen y habiliten repositorios sin firmar, apliquen parches a sus sistemas a las últimas versiones disponibles y usen soluciones de protección de servidores Linux de proveedores confiables.

Fecha actualización el 2021-09-17. Fecha publicación el 2019-09-17. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: technadu Version movil