ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

Dr.Web ຜູ້​ໃຫ້​ບໍລິການ Antivirus ຈາກ​ຣັດ​ເຊຍ​ໄດ້​ພົບ​ມັນ​ແວ​​ໂທຣ​ຈັນ​ຕົວ​ໃໝ່​ທີ່​ມີ​ຄວາມ​ສາມາດ​ຫຼາກ​ຫຼາຍ​ ແລະ​ ໂຈມ​ຕີ​ຢູ່​ເທິງ​ລະບົບ​ປະຕິບັດການ Linux ຢ່າງໃດ​ກໍ​ຕາມ​ຍັງ​ບໍ່​ມີ​ການຕັ້ງ​ຊື່​​ຢ່າງ​ເປັນ​ທາງ​ການ ​ພຽງ​ແຕ່​ໃຫ້​ຊື່​ຕິດ​ຕາມ​ວ່າ  ‘LinuxBtcMine174’ ໂດຍ​ຈຸດ ປະສົງ​ຄື​ການ​ຝັງ​ຕົວ​ ແລະ ​ຂຸດ​ເໝືອງ​ເທິງ​ເຄື່ອງ​ຜູ້​ໃຊ້​ງານ ອີກ​ທັງ​ຍັງ​ສາມາດ​ຄົ້ນ​ຫາ​ເຄື່ອງ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັນ​ຜ່ານ​ທາງ SSH ໄດ້​ອີກ​ດ້ວຍ.

       LinuxBtcMine174 ເປັນ​ມັນ​ແວ​ເທິງ Linux ທີ່​ມີ​ຄວາມ​ສາມາດ​ປະຕິບັດການ​ຄົບ​ຊຸດກວ່າ​ມັນ​ແວ​​ທົ່ວ​ໄປ ​ຊຶ່ງ​ເລີ່ມ​ດ້ວຍ​ໂຄ້​ດ (Code) ​ຍາວ​ກວ່າ 1,000 ບັນ​ທັດ​ທີ່​ຈະ​ຖືກປະຕິບັດ  (Execute) ໃນ​ເຄື່ອງ​ທີ່​ຕິດ​ມັນ​ແວ​ ​ແລະ ​ສິ່ງ​ທີ່​ພົບ​ຄື:

  1. ມັນ​ແວ​ຈະ​ເຂົ້າໄປ​ຫາ​ໂຟນ​ເດີ​ເທິງ​ດິ​ສ​ທີ່​ມີ​ສິດ​ຂຽນ​ເພື່ອຈະ​ເຮັດ​ສຳ​ເນົາ​ຕົວ​ເອງ ​ແລະ ​ໄຟ​ລ໌​ອື່ນ​ທີ່​ຈະ​ດາວ​​ໂຫຼດ​ຕາມ​ມາ​ເຂົ້າໄປ​ໄດ້;
  2. ໃຊ້ 2 ຊ່ອງ​ໂຫວ່​ເພື່ອ​ຍົກ​ລະດັບ​ສິດ​ເຂົ້າ​ເຖິງ​ທັງ​ລະບົບ​ຄື CVE-2016-5195 (ຊື່​ຮຽກ​ຄື Dirty COW) ແລະ CVE-2013-2094;
  3. ຕັ້ງ​ຕົວ​ເອງ​ເປັນ  Local Daemon (ຄຳ​ຮຽກ​ໂປຣ​ເຊດ “Process” ​ທີ່​ຣັນ​ຢູ່​ເບື້ອງ​ຫຼັງ​ໃນ​ລະບົບ Linux ຫລື Unix) ແລະ ​ດາວ​ໂຫຼດ nohub utilities;
  4. ສາມາດ​ຄົ້ນຫາ​ ແລະ ​ປິດ​ໂປຣ​ເຊດ​ຂອງ​ມັນ​ແວ​​ຄູ່​ແຂ່ງ (ຫຼາຍ​ຕົວ) ທີ່​ກຳ​ລັງ​ຂຸດ​ເໝືອງ​ຢູ່​ຈາກ​ນັ້ນ​ຈະ​ດາວ​​ໂຫຼດ ​ແລະ ​ເລີ່ມ​ຂຸດ​ເໝືອງ Monero ຂອງ​ຕົວ​ເອງ;
  5. ດາວ​​ໂຫຼດ​ໂທຣ​ຈັນ​ທີ່​ຊື່ BillGates ທີ່​ສາມາດ​ທຳການ DDoS ໄດ້​ເຂົ້າ​ມາ​ເພີ່ມ;
  6. ສາມາດ​ເບິ່ງ​ໂປຣ​ເຊດ​ທີ່​ອາດ​ເປັນ​ Antivirus ໄດ້​ຫຼາຍ​ຄ້າຍ​ ແລະ ປິດໂປຣ​ເຊດ​ເຫຼົ່າ​ນັ້ນ ຊຶ່ງ Dr.Web ພົ​ບ ວ່າ​ມັນ​ແວ​​ສາມາດ​ປິດ​ໂປຣ​ເຊດ ເຊັ່ນ Safedog, Aegis, Yuanso, Clamd, Avast, Avgd, Cmdavd, Arweb-configd, Dwweb-sperder-kmod, Esets, Xmirrord ໄດ້;
  7. ເພີ່ມ​ຕົວ​ເອງ​ເຂົ້າໄປ​ໃນ​ສ່ວນ Autorun ເຊັ່ນ: /etc/rc.local, etc/rc.d, etc/cron.hourly ເປັນ​ຕົ້ນ​ເພື່ອ​ດາວ​​ໂຫຼດ​ ແລະ​ ຣັນ Rookit ຊຶ່ງ​ມີຄວາມສາມາດທີ່​ໜັກ​ໜ່ວງ​ກວ່າ ເຊັ່ນ: ລັກ​ລະ​ຫັດ​ຜ່ານ​ໃນ​ຄຳ​ສັ່ງ Su ຂອງ​ຜູ້​ໃຊ້, ເຊື່ອງ​ໄຟ​ລ໌ ​ແລະ​ ການ​ເຊື່ອມ​ຕໍ່​ເຄື່ອ​ຂ່າຍ ທັງຫມົດ​ເຖິງ​ໂປຣ​ເຊດ​ທີ່​ຣັນ​ຢູ່​ໄດ້​ດ້ວຍ;
  8. ສາມາດ​ເກັບ​ຂໍ້​ມູນ​ຂອງ​ເ​ຊິ​ເວີ​ທີ່​ເຊື່ອມ​ຕໍ່​ຢູ່​ຜ່ານ SSH ໄດ້​ດ້ວຍ ລວມ​ເຖິງ​ມີ​ຄວາມ​ພະຍາຍາມ​ທີ່​ຈະ​ເຈາະ​ເຂົ້າໄປ​ທາງ​ນັ້ນ​ເພື່ອ​ແຜ່ກະ​ຈາຍ​ຕົວ​ເອງ​ໄປ​ຍັງ​ເຄື່ອງ​ອື່ນ​ອີກ​ດ້ວຍ.

         ຢ່າງໃດ​ກໍ​ຕາມ​ສຳລັບ​ຜູ້​ສົນ​ໃຈ​ທາງ Dr.Web ໄດ້​ອັບ​ໂຫຼດ SHA1 ຂອງ​ມັນ​ແວ​​ຕົວ​ນີ້​ໄວ້​ແລ້ວ​ເທິງ GitHub ລິ້ງຄື: https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174 ໃຫ້​ລອງ​ນຳ​ໄປ​ກວດ​ສອບ​ໄດ້.

ເອກະສານອ້າງອີງ: 

  1. https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/
  2. https://www.techtalkthai.com/new-cryptominer-on-linux-with-plenty-of-intrusive-features/
  3. https://vms.drweb.com/virus/?i=17645163