Si chiama Skidmap il malware appartenente alla famiglia dei cryptominer che infetta i sistemi Linux utilizzando moduli malevoli in modalità kernel-mode (quindi con privilegi elevati) per nascondere le sue attività.
Grazie a queste sue particolari funzionalità simili a quelle dei rootkit, Skidmap riesce a falsificare le statistiche di sistema sul traffico di rete e sull’utilizzo della CPU in modo da consentire ai criminal hacker di minare criptovalute in maniera totalmente “invisibile”.
Come se non bastasse, i ricercatori di sicurezza di Trend Micro hanno scoperto anche che Skidmap è anche in grado di attivare una backdoor e impostare una password “master” sul sistema infetto per fornire agli aggressori un accesso completo al sistema target che gli consente anche di reinfettare i sistemi che sono stati già ripristinati o ripuliti.
Indice degli argomenti
La catena infettiva del malware Skidmap
Durante l’analisi del codice malevolo, i ricercatori di sicurezza hanno notato che diverse routine implementate da Skidmap richiedono l’accesso root al sistema target, per cui si suppone che la diffusione del malware avviene mediante un vettore di attacco che ha precedentemente consentito ai criminal hacker di ottenere accesso al sistema operativo con privilegi di amministratore.
Dopo avere ottenuto accesso al sistema, Skidmap viene installato sfruttando il modulo crontab che, nei sistemi Unix, viene utilizzato per pianificare attività di sistema ad intervalli di tempo regolari.
Durante la procedura d’installazione, inoltre, Skidmap scarica sul computer infetto anche altri file binari che influiscono sulle impostazioni di sicurezza del computer.
Come prima operazione malevola, il malware modifica le impostazioni di sicurezza dei sistemi infetti agendo direttamente sulla configurazione del modulo Security-Enhanced Linux (SELinux) e attivando una modalità di accesso permissiva.
Contestualmente, attiva l’accesso backdoor alla macchina aggiungendo la chiave pubblica con cui è “firmato” il suo codice binario al file authorized_keys che contiene le chiavi necessarie per l’autenticazione al sistema. Skidmap sostituisce quindi il file pam_unix.so (il modulo responsabile dell’autenticazione Unix standard) con la propria versione malevola (identificata come Backdoor.Linux.PAMDOR.PAMDOR.A).
Infine, il malware controlla se sul sistema infetto è in esecuzione una distribuzione Debian like o basata su Red Hat Enterprise Linux o CetOS e scarica di conseguenza il miner di criptovalute adatto. In particolare, sui sistemi basati su Debian il payload del miner viene memorizzato nella cartella /tmp/miner2. Sui sistemi RHEL/CentOS, invece, viene scaricato un file .tar dall’URL hxxp://pm[.]ipfswallet[.]tk/cos7[.]tar[.]tar[.]gz, contenente il miner e i suoi molteplici componenti. I ricercatori Trend Micro hanno scoperto che il contenuto del file protetto con una cifratura Triple DES viene decifrato mediante OpenSSL usando la chiave jcx@076.
Per completare tutte queste operazioni, Skidmap include diverse componenti dannosi che gli consentono di eludere eventuali sistemi di controllo e garantire la persistenza del suo codice malevolo all’interno del sistema infetto:
- innanzitutto, utilizza una copia modificata del file binario “rm” il cui compito è quello di scaricare ed eseguire altri file malevoli;
- kaudited è un modulo del kernel utilizzato per monitorare il processo di mining della criptovaluta;
- iproute è il modulo utilizzato per nascondere file e traffico di rete falso;
- netlink, infine, viene utilizzato per falsificare le statistiche di sistema relative alla rete e all’uso della CPU.
I consigli per difendersi
I cryptominer rappresentano una minaccia seria capare di influenzare in maniera “pesante” le prestazioni di un server o di una workstation. Inoltre, potrebbero anche tradursi in spese più elevate per la gestione delle macchine (pensiamo, ad esempio, al maggior consumo di corrente elettrica dovuto all’eccessivo utilizzo delle risorse di sistema; ma anche alle maggiori spese di manutenzione per le macchine che vengono sfruttate in maniera consistente rispetto al carico di lavoro standard).
Sono evidenti, quindi, i danni che un’infezione di Skidmap potrebbe comportare per le aziende, soprattutto se vengono colpiti server o sistemi endpoint utilizzati per eseguire operazioni mission-critical.
Poiché Linux viene utilizzato prevalentemente in ambito aziendale, gli amministratori di sistema dovrebbero quindi adottare alcune buone pratiche di sicurezza informatica:
- tenere sempre aggiornati il sistema operativo e i server. In molti casi, è utile anche utilizzare politiche di patching virtuali sui sistemi legacy;
- fare attenzione ai repository di terze parti non verificati;
- applicare il principio del minimo privilegio per impedire l’esecuzione di eseguibili o processi sospetti e dannosi.
