image

Cryptominer verwijdert anti-virussoftware van Linux-systemen

donderdag 22 november 2018, 13:56 door Redactie, 9 reacties

Een nieuwe cryptominer die Linux-systemen infecteert verwijdert niet alleen concurrerende cryptominers, ook aanwezige anti-virussoftware wordt verwijderd. Hoe de malware precies op Linux-systemen terechtkomt laat anti-virusbedrijf Doctor Web niet weten.

Eenmaal actief op een systeem zoekt de cryptominer naar concurrerende cryptominers en verwijdert die. Wanneer de cryptominer niet met rootrechten is gestart gebruikt het twee kwetsbaarheden in Linux om de rechten te verhogen. Het gaat om een beveiligingslek uit 2013 en de Dirty COW-kwetsbaarheid uit 2016. Vervolgens zoekt de cryptominer naar de aanwezigheid van bepaalde anti-virussoftware. De malware stopt niet alleen de processen van de virusscanners, ook gebruikt het package managers om die te verwijderen.

Na deze acties voegt de malware zich toe aan de Autorun-list en start een rootkit op het apparaat. Pas na al deze stappen wordt de daadwerkelijke cryptominer gestart die de rekenkracht van het systeem gebruikt om de cryptovaluta Monero te delven. Het gebruik van rootkits door cryptominers is niet nieuw. Onlangs waarschuwde ook anti-virusbedrijf Trend Micro dat het een cryptominer had gevonden die van een rootkit-componet was voorzien. De rootkit verbergt het proces dat voor het delven van de cryptovaluta verantwoordelijk is voor monitoringtools.

"Cryptomining-malware kan voor grote prestatieproblemen zorgen, met name op Linux-systemen, gegeven hun gebruik in het draaien en beheren van bedrijfsprocessen, van servers, workstations, ontwikkelframeworks en databases tot mobiele apparaten", zegt analist Augusto II Remillano van Trend Micro. Beheerders krijgen dan ook het advies om "securityhygiëne" toe te passen, zoals het regelmatig installeren van patches, het verkleinen van het aanvalsoppervlak via access control policies, het hardenen van systemen via security-extensies en het toepassen van het "least privilige"principe.

Image

Reacties (9)
22-11-2018, 14:23 door Anoniem
Wat is een Autorun-list op Linux ? Ik denk dat de intentie was het iets anders te verwoorden.
22-11-2018, 14:38 door Anoniem
Kopruimtetekort
Cryptominer verwijdert anti-virussoftware van ongepatchte Linux-systemen[/u]

Drwebs
The Trojan, added to the Dr.Web virus databases as Linux.BtcMine.174, is a big shell script containing over 1,000 lines of code.
Yep, shell scripts, een dreiging voor menig systeem, zelfs met gelimiteerde rechten.
Opmerkelijk dat dit niet veel meer wordt toegepast want heel effectief te misbruiken.
Maar met misbruik gericht op zegge en schrijve niveau Ubuntu versie 13 mis mis je toch een behoorlijk aandeel van de linux gebruikers markt.

https://usn.ubuntu.com/releases/ubuntu-13.04/

Voor een dergelijke constatering hoef je niet eens een hardcore linux bladept te zijn.
22-11-2018, 14:41 door Anoniem
Goed, 5 jaar geen updates voeren is vragen om gehacked te worden. Dus dit is niets nieuws onder de zon.

TheYOSH
22-11-2018, 14:42 door Anoniem
Russische anti-virus zoals Doctor Web en Kaspersky zijn toch hele goede anti-virus oplossingen, ik snap niet waarom onze overheid niet met Kasperksy verder gaat het houdt zelfs Malware van NSA tegen soms.
22-11-2018, 15:14 door Anoniem
@ 14:42

Je geeft jezelf al het antwoord. Ze houden malware van NSA tegen en zien dus wat Amerikaanse diensten willen uitvreten, dus als je leeft van "security through obscurity", zoals die Yanks, wil je dat niet op je regeringscomputers hebben en ook niet op de computers van de andere veertien "eyes" (zoals de Nederlandse overheid), die met je in bed liggen. Toch niet zo moeilijk te ontdekken, die conclusie.

Bovendien vullen de definities van bij voorbeeld DrWeb uit St Petersburg (met Putin als beschermheer) de definities van westerse av-oplossingen zeer goed aan. Dus waar het kan (op browsers bijvoorbeeld) mee aanvullen. Zo gebruik ik Voodooshield naast Windows Defender en in de browser Bitdefender & Dr. Web extensies. MBAM extensie is al partijdig en bestempelt alt-sites als clickbait bijvoorbeeld.
22-11-2018, 15:16 door Anoniem
Maakt toch niet uit? Linux heeft geen antivirus software nodig heb ik wel eens gehoord van bepaalde mensen.
22-11-2018, 23:42 door Anoniem
Met DNS resolver overflow bugs in Linux-apps bijvoorbeeld, maar dan is er iets al lange tijd niet gepatched.
Linux security problemen zijn meestal je eigen schuld als het niet een verse zero-day betreft,
die overigens vrij lang open kunnen blijven staan. De eerstgenoemde bug moest een jaar op een patch wachten.
23-11-2018, 08:10 door Anoniem
Door Anoniem: Russische anti-virus zoals Doctor Web en Kaspersky zijn toch hele goede anti-virus oplossingen, ik snap niet waarom onze overheid niet met Kasperksy verder gaat het houdt zelfs Malware van NSA tegen soms.

Kaspersky houdt malware van de NSA en Mossad tegen en die verkopen hun oude tools aan de AIVD en andere partijen. Deze partijen proberen met fake news te voorkomen dat hun Malware gestopt wordt en proberen ook de economische groei van Kaspersky te dwarsbomen zodat het niet meer zo goed en groot kan worden. Laatst had Kaspersky nog malware van de NSA gepakt in Egypte, Rusland en andere landen, maar ook bij Stuxnet waren zij er als 1 van de eerste bij.
23-11-2018, 08:57 door Anoniem
Door Anoniem: Maakt toch niet uit? Linux heeft geen antivirus software nodig heb ik wel eens gehoord van bepaalde mensen.

Bij uitlokking zou de mod het bericht moeten verwijderen.

Inhoudelijk: Klopt, maar dat geldt voor alle OS'en, zelfs voor Windows. Virusscanners zijn een verdienmodel van virusmakers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.