Trend Micro Security

Trojan.Linux.SKIDMAP.UWEKB

2020年7月3日
 解析者: Alyssa Christelle Ramos   
 別名:

ELF/Skidmap(FORTINET);HEUR:Trojan.Linux.Skidmap.a(KASPERSKY)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 391,500 bytes
タイプ ELF
メモリ常駐 なし
発見日 2020年6月29日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード, ファイルの削除, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • /lib64/security/pam_unix.so -> if 64-bit, compromised pam_unix.so file
  • /lib/x86_64-linux-gnu/security/pam_unix.so -> if 32-bit, compromised pam_unix.so file
  • /root/.ssh/authorized_keys

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • /usr/bin/kaudited
  • /usr/bin/kswaped
  • /usr/bin/irqbalanced
  • /usr/bin/rctlcli
  • /usr/bin/systemd-network
  • /usr/bin/pamdicks
  • /lib/udev/ssd_control/iproute.ko
  • /lib/udev/ssd_control/netlink.ko
  • /lib/udev/ssd_control/cryptov2.ko
  • /var/lib/pc
  • /var/lib/pm.sh
  • /usr/lib64/dyninst

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • kaudeited
  • kswaped
  • systemd-network
  • rctlcli
  • irqbalanced
  • ip6network
  • pamdicks
  • httpdz
  • migrations
  • crloger1
  • crloger27

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://d.{BLOCKED}fwish.com/cos7.tar.gz

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • /usr/include/cos7.tar.gz

その他

マルウェアは、以下を実行します。

  • Checks if OS is centos or redhat, if not it will connect and download from the following URL(s):
    http://d.{BLOCKED}fwish.com/miner2
    It will save and execute the downloaded file as:
    tmp/miner2
  • It creates a copy of "/usr/bin/pamdicks.org" and saves it as "tmp/mmm" and "/usr/bin/mmm"
  • It changes the file attribute of "/etc/cron.d" to remove immutable and append only
  • Adds the following lines to "/etc/cron.d/watch":
    0 1 * * * root /bin/cp /usr/bin/mmm /tmp/mmm && /tmp/mmm
  • It changes the file attribute of every file in "/etc/cron.d" to include immutable
  • It checks for "usr/bin/chattr" or "/bin/chattr", if not accessible it will execute the following commands:
    /bin/mv /usr/bin/chattr /usr/bin/t
    /usr/bin/t +i /root/.ssh/authorized_keys
  • It checks for the presence of the following files:
    /lib64/security/pam_unix.so
    /lib/x86_64-linux-gnu/security/pam_unix.so.
    If present, it will replace it with a malicious copy of "pam_unix.so", otherwise it will create its own "pam_unix.so"
  • It checks if setenforce is running, if found running it will execute the following command:
    execute (setenforce 0)
  • It checks for /root/.ssh, if present it will change the file attribute to remove immutable and append only in all the files under that directory.
    If not present, it will create its own "/root/.ssh"
  • It sets the following configurations:
    SELINUX=disabled
    SELINUXTYPE=targeted, to disabled setenforce

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.968.03
初回 VSAPI パターンリリース日 2020年7月3日
VSAPI OPR パターンバージョン 15.969.00
VSAPI OPR パターンリリース日 2020年7月4日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Linux.SKIDMAP.UWEKB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください