נוזקת Skidmap מטפלת בקרנל של מכונות מבוססות לינוקס
עמי רוחקס דומבה
| 19/09/2019
Skidmap, תוכנה זדונית למערכות לינוקס שנחשפה לאחרונה על ידי טרנד מיקרו, מדגימה את המורכבות ההולכת וגוברת של איומי כריית מטבעות וירטואלים. התוכנה מיוחדת בשל האופן שבו היא טוענת מודולי גרעין זדוניים (kernel-mode rootkits) כדי לשמור על פעולות הכרייה חשאית. כך על פי פרסום של טנרד מיקרו.
מודולים אלו קשים יותר לזיהוי בהשוואה לעמיתיהם במצב משתמש ולכן התוקפים יכולים להשתמש בהם גם כדי לקבל גישה בלתי מוגבלת למערכת המושפעת. Skidmap יכולה גם להגדיר סיסמת אב סודית המעניקה לה גישה לכל חשבון משתמש במערכת. לעומת זאת, בהתחשב בעובדה שרבים מהשגרות של Skidmap דורשות גישה לקרנל, וקטור ההתקפה בו היא משתמשת - בין אם באמצעות ניצולים, תצורות שגויות או חשיפה לאינטרנט - הם ככל הנראה אותם אלה המספקים לתוקף גישה ניהולית למערכת.
התוכנה מתקינה את עצמה בשימוש בcrontab, לאחר מכן מבטלת מדיניות דרך הגדרה מחדש של SELinux ולבסוף שותלת מפתח ציבורי משלה בקובץ authorized_keys שמחזיק את המפתחות הדרושים לאימות. לצורך יתירות, התוכנה יוצרת גישה נוספת דרך שינוי קובץ pam_unix.so המשמש לאימות בקובץ מטופל משלה.
"Skidmap משתמשת בשיטות מתקדמות למדי כדי להבטיח שהיא ומרכיביה יישארו ללא גילוי. לדוגמה, השימוש בערכות שורש LKM - בהינתן יכולת להחליף או לשנות חלקים מהקרנל - מקשה על הניקוי בהשוואה לתוכנות זדוניות אחרות. בנוסף, ל- Skidmap דרכים רבות לגשת למכונות המושפעות, המאפשרות לה לחדש מחדש מערכות ששוחזרו או נוקו", כותבים בפרסום.
Skidmap, תוכנה זדונית למערכות לינוקס שנחשפה לאחרונה על ידי טרנד מיקרו, מדגימה את המורכבות ההולכת וגוברת של איומי כריית מטבעות וירטואלים. התוכנה מיוחדת בשל האופן שבו היא טוענת מודולי גרעין זדוניים (kernel-mode rootkits) כדי לשמור על פעולות הכרייה חשאית. כך על פי פרסום של טנרד מיקרו.
מודולים אלו קשים יותר לזיהוי בהשוואה לעמיתיהם במצב משתמש ולכן התוקפים יכולים להשתמש בהם גם כדי לקבל גישה בלתי מוגבלת למערכת המושפעת. Skidmap יכולה גם להגדיר סיסמת אב סודית המעניקה לה גישה לכל חשבון משתמש במערכת. לעומת זאת, בהתחשב בעובדה שרבים מהשגרות של Skidmap דורשות גישה לקרנל, וקטור ההתקפה בו היא משתמשת - בין אם באמצעות ניצולים, תצורות שגויות או חשיפה לאינטרנט - הם ככל הנראה אותם אלה המספקים לתוקף גישה ניהולית למערכת.
התוכנה מתקינה את עצמה בשימוש בcrontab, לאחר מכן מבטלת מדיניות דרך הגדרה מחדש של SELinux ולבסוף שותלת מפתח ציבורי משלה בקובץ authorized_keys שמחזיק את המפתחות הדרושים לאימות. לצורך יתירות, התוכנה יוצרת גישה נוספת דרך שינוי קובץ pam_unix.so המשמש לאימות בקובץ מטופל משלה.
"Skidmap משתמשת בשיטות מתקדמות למדי כדי להבטיח שהיא ומרכיביה יישארו ללא גילוי. לדוגמה, השימוש בערכות שורש LKM - בהינתן יכולת להחליף או לשנות חלקים מהקרנל - מקשה על הניקוי בהשוואה לתוכנות זדוניות אחרות. בנוסף, ל- Skidmap דרכים רבות לגשת למכונות המושפעות, המאפשרות לה לחדש מחדש מערכות ששוחזרו או נוקו", כותבים בפרסום.
