Downloads maliciosos do script Bash em servidores linux – Malware

Downloads maliciosos do script Bash em servidores linux – Malware

20 de junho de 2019 Off Por Suporte Rede Digital

Durante sua análise , os pesquisadores foram capazes de determinar que o criptominer foi baixado através de um script Bash conhecido como cr2.sh, que é descartado no servidor de uma maneira desconhecida.

O que acontece depois que o arquivo bash é executado? Ele é configurado para matar processos de uma lista de nomes de processos relacionados ao cryptomining, como xmrig e cryptonight, entre outros.

Em seguida, ele verifica se o processo malicioso já está em execução e envia uma solicitação para um arquivo PHP hospedado em um servidor separado. Este arquivo gera o endereço IP que captura o conteúdo real do cryptominer executado pelo processo malicioso.

Mais sobre o script bash do cr2.sh

O script cr2.sh também precisa determinar se o ambiente do sistema operacional é 32 ou 64 bits para fazer o download da carga útil de criptomoagem. Para isso, utiliza o comando curl ou wget como / tmp / php, enquanto o arquivo de configuração do mineiro é baixado do mesmo servidor, explicaram os pesquisadores.

O script já baixou para o servidor da web todo o conteúdo necessário para prosseguir e gerar o processo usando nohup, o que permite que o processo continue em execução, independentemente de o usuário encerrar a sessão bash.

Em sua próxima fase, o processo do minerador agora carregado na memória do host do Linux excluirá a carga útil assim como seu arquivo de configuração. Isso é feito para garantir e ocultar sua presença.

O malware também é capaz de alcançar a persistência criando uma tarefa cron que esteja configurada para ser executada a cada minuto. Além disso, ele verificará o script cr2.sh Bash e, se o script estiver faltando, ele será baixado novamente e executado novamente:

Apenas no caso de alguém detectar o processo e o matar junto com o arquivo cr2.sh inicial, o arquivo cria um cronjob (a menos que já exista). Este cron está programado para rodar a cada minuto, baixar novamente o arquivo cr2.sh se estiver faltando e executar o script bash malicioso.

Observe que não apenas servidores da Web são visados ​​por esse ataque, mas também instalações de desktop de sistemas Linux de 32/64 bits e outras variantes, implantadas para infectar instalações do Windows.