Para peneliti telah menemukan program cryptomining canggih yang menggunakan loadable kernel modules (LKMs) untuk membantu menyusup ke mesin Linux, dan menyembunyikan aktivitas jahatnya dengan menampilkan statistik lalu lintas jaringan palsu.
Dijuluki Skidmap, malware ini juga dapat memberikan penyerang akses pintu belakang ke sistem yang terkena dampak dengan menyiapkan kata sandi master rahasia yang menawarkan akses ke akun pengguna apa pun dalam sistem, menurut analis ancaman Trend Micro, Augusto Remillano II dan Jakub Urbanec dalam posting blog perusahaan hari ini.
“Skidmap menggunakan metode yang cukup canggih untuk memastikan bahwa itu dan komponennya tetap tidak terdeteksi. Sebagai contoh, penggunaan rootkit LKM - mengingat kemampuannya untuk menimpa atau memodifikasi bagian dari kernel - membuatnya lebih sulit untuk dibersihkan dibandingkan dengan malware lain, ”tulis posting blog. "Selain itu, Skidmap memiliki banyak cara untuk mengakses mesin yang terkena dampak, yang memungkinkannya untuk memperbaiki sistem yang telah dipulihkan atau dibersihkan."
Setelah instalasi, malware mengunduh biner utamanya, "pc," yang dapat mengkonfigurasi ulang atau sekaligus menonaktifkan kebijakan Security-Enhanced Linux (SELinux) mesin yang terinfeksi. Itu kemudian membuat akses backdoor dengan menambahkan kunci publik yang tidak sah ke file Authorized_key . Selain itu, Skidmap menggantikan pam_unix.so - modul yang bertanggung jawab untuk otentikasi Unix standar) - dengan versi jahat yang "menerima kata sandi spesifik untuk setiap pengguna, sehingga memungkinkan penyerang untuk masuk sebagai pengguna di mesin," jelas para peneliti.
Pada titik ini, biner menjatuhkan penambang cryptocurrency dengan salah satu dari dua metode, tergantung pada apakah mesin yang terpengaruh berjalan pada distribusi Debian Linux, atau distro CentOS atau Red Hat Enterprise Linux (RHEL).
Komponen lain yang dijatuhkan oleh malware termasuk penggantian palsu untuk perintah "rm" untuk menjadwalkan pengunduhan dan pelaksanaan file. (Perintah rm asli sebenarnya digunakan untuk menghapus file.) Yang lain lagi termasuk "kaudited," yang menjatuhkan beberapa LKM pada mesin untuk memperhitungkan berbagai versi kernel yang mungkin; iproute, modul untuk menyembunyikan file; dan netlink, rootkit yang memalsukan lalu lintas jaringan dan statistik CPU sehingga pengguna berpikir mesin mereka berperilaku normal bahkan saat sedang cryptojacked.
Sumber Artikel : SCMagazine
