第162期安全事件


英文标题 New Linux crypto-miner steals your root password and disables your antivirus
中文标题 研究人员发现新的 Linux 挖矿木马 BtcMine
作者及单位 Catalin Cimpanu
内容概述
研究人员发现一种新挖矿木马。这种新的恶意软件应用程序没有明确的命名,但通常以 Linux.BtcMine.174 被检测到。 该木马是包含 1000 多行代码的巨型 shell 脚本,该脚本是在受感染的 Linux 系统上执行的第一个文件,会在磁盘上找到一 个具有写权限的文件夹,然后复制自己,并下载其他模块。一旦木马下载完成,就会使用 CVE-2016-5195(也称为 Dirty COW)和 CVE-2013-2094 两种特权升级漏洞中的一种获取 root 权限从而获得对操作系统的完全访问权限。然后该木马 将自己设置为本地守护进程,如果该实用程序不存在,会下载 nohup 实用程序来实现此操作。木马完全控制主机后,会进 行加密货币挖掘。它还会下载另一种木马 Bill.Gates,这是一种已知的 DDoS 恶意软件,具有许多类似后门的功能。该木马 还会收集有关受感染主机通过 SSH 连接的所有远程服务器的信息,并尝试连接到这些计算机进行传播。
新闻链接
https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/