این اسکریپت مخرب استخراج ارز دیجیتال در یکی ازhoneypot های Trend Micro شناسایی شده است و بر اساس بررسیها، برخی قسمتهای کد آن با بدافزار Xbash مشترک بوده و ساختار آن بسیار نزدیک به استخراجگر ارز دیجیتال KORKERDS است. این نسخه از Korkerds، از روتکیتها برای پنهانکردن خود استفاده نمیکند، بلکه استخراجگر Stratum XMR-Stak را دانلود میکند که از CPU یا GPU سیستم برای یافتن ارزهایCryptonight استفاده میکند.
اسکریپت اولیه یک فایل crontab را به عنوان بخشی از مرحله اول نفوذ دانلود میکند که برای اجرای فاز بعدی که شامل سه تابع است، استفاده خواهد شد:
• تابع B، تمام بدافزارها و استخراجگرهای ارزدیجیتال و تمام خدمات مرتبط با بدافزارها را از بین میبرد. این تابع همچنین دایرکتوریها و فایلهای جدیدی ساخته و فرآیندهای مرتبط با آدرسهای IP شناسایی شده را متوقف میکند.
• تابع D کد باینری استخراجگر ارز دیجیتال را دانلود کرده و آن را اجرا میکند.
• تابع C اسکریپتی را دانلود کرده و آن را در فایل /usr/local/bin/dns ذخیره میکند سپسcrontab جدیدی ایجاد میکند تا این اسکریپت را در ساعت ۱ صبح فراخوانی کند.
در این مرحله، بدافزار برای از بین بردن رد خود از پاک کردن لاگ سیستم اطمینان حاصل، و همچنین با استفاده از فایلهایcrontab جاسازی شده، از حذف شدن خود پس از راه اندازی مجدد و یا حذف فایلها جلوگیری میکند. مرحله دوم نفوذ این بدافزار از چندین دوربین IP و سرویسهای وب پورت TCP ۸۱۶۱ آغاز میشود. تفاوت اصلی عملکرد این بدافزار و KORKERDS این است که در این بدافزار، اسکریپت جدید فقط یک فایل crontab را وارد میکند که کل کد و استخراجگر را در بر دارد، در حالی که KORKERDS، crontab را به طور مستقیم ذخیره میکند.
نشانههای آلودگی (IoC):
هش:
• ۲f۷ff۵۴b۶۳۱dd۰af۳a۳d۴۴f۹f۹۱۶dbde۵b۳۰cdbd۲ad۲a۵a۰۴۹bc۸f۲d۳۸ae۲ab۶
• d۹۳۹۰bbbc۶e۳۹۹a۳۸۸ac۶ed۶۰۱db۴۴۰۶eeb۷۰۸f۳۸۹۳a۴۰f۸۸۳۴۶ee۰۰۲۳۹۸۹۵۵c
انتهای پیام/