Центр мониторинга и реагирования UserGate объявил об обнаружении новой модификации вредоносного ПО Kinsing, которое нацелено на серверы Linux. Эксперты компании подготовили исследование, в котором описаны принципы действия вредоноса Kinsing, а также приведены рекомендации по выявлению факта компрометации.
Ранее Центр мониторинга и реагирования добавил в Систему обнаружения вторжений (СОВ) UserGate сигнатуру, которая позволяет выявлять атаки, в процессе которых эксплуатируется уязвимость CVE-2021-44228, применяемая для начального вектора атаки.
Злоумышленники постоянно улучшают вредоносное ПО Kinsing, применяют наиболее актуальные уязвимости для его распространения. Выявленная специалистами UserGate модификация применяет механизм Rootkit, чтобы скрыть процессы работы майнера криптовалюты. Вредонос Kinsing – это полноценный RAT.
Специалисты компании UserGate выделили несколько главных этапов работы скрипта:
- Предварительная настройка скомпрометированного сервера.
- Установка имени и файлового пути до вредоносного ПО (зависит от прав доступа).
- URL для загрузки вредоносного ПО.
- Создание файла конфигурации сервиса для запуска вредоноса в фоновом режиме через systemd.
- Поиск, остановка и удаление из процессов иных майнеров криптовалюты (при их наличии).
- Установка вредоносной библиотеки libsystem.so, которая имеет функционал Rootkit (необходимо для скрытия файлов, процесса, порта с применением механизма LD_PRELOAD. Библиотека libsystem.so создана на языке С и собрана с использованием компилятора GCC версии 8.3.0 под ОС Debian.
- Добавление в crontab ссылки для загрузки файла дроппера (требуется, чтобы обновить вредоносное ПО).
- Удаление истории bash.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.