Coinminer.Linux.KINSING.D
LINUX.CoinMiner (IKARUS); LINUX/Kinsing.a (NAI)
Linux
Tipo di minaccia informatica:
Coinminer
Distruttivo?:
No
Crittografato?:
Sì
In the wild::
Sì
Panoramica e descrizione
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.
Dettagli tecnici
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Agrega las carpetas siguientes:
- /tmp/.ICEd-unix
Infiltra los archivos siguientes:
- /tmp/.ICEd-unix/uuid
Infiltra y ejecuta los archivos siguientes:
- /tmp/kdevtmpfsi
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Download and execute a file
- Update downloaded files
- Execute a command
- Execute a command and send output to server
- Create an HTTP request
- Create a TCP request
- Brute-force Redis instances
- Execute MASSCAN IP Port Scanner
- Drops firewire.sh to download and execute the masscan tool
Finalización del proceso
Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:
- kdevtmpfsi
Robo de información
Recopila los siguientes datos:
- OS Version
- OS Name
- OS Architecture
- Product Name
- Product Version
- Product Serial
- Product UUID
- Board Vendor
- Board Name
- Board Version
- Board Serial
- Board Asset Tag
- Chassis Vendor
- Chassis Type
- Chassis Version
- Chassis Serial
- Chassis Asset Tag
- Bios Vendor
- Bios Version
- Bios Date
- Sys Vendor
- Kernel Version
Otros detalles
Hace lo siguiente:
- This backdoor checks for the connection to the following URL to choose which C2 server to send and receive information:
- {BLOCKED}.53.140
- {BLOCKED}102.77
- {BLOCKED}48.183
- {BLOCKED}77.79
- {BLOCKED}179.88
- {BLOCKED}154.208
- {BLOCKED}.150.99
- {BLOCKED}46.81
- {BLOCKED}2.107
- {BLOCKED}.224.182
- {BLOCKED}.179.225
- {BLOCKED}.224.21
- {BLOCKED}.23.210
- {BLOCKED}238.176
- {BLOCKED}159.2
- {BLOCKED}220.193
- This backdoor receives its commands via HTTP GET to the following URL:
- {Server}/GET
Soluzioni
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Coinminer.Linux.KINSING.D En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Sondaggio