يخفي مكون Rootkit عملية تعدين التشفير التي تتسبب في استخدام وحدة المعالجة المركزية بشكل كبير من خلال أدوات مراقبة عمليات Linux المحلية المضمنة.
اكتشف باحثون أمنيون من Trend Micro سلالة جديدة من البرامج الضارة التي تعمل على استخراج العملات المشفرة على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Linux، ولكنها تختلف أيضًا عن سابقاتها شوهدت أدوات تعدين العملات المشفرة لأنها تقوم بتنزيل برنامج rootkit لتغيير سلوك نظام التشغيل وإخفاء الاستخدام العالي غير المرغوب فيه لوحدة المعالجة المركزية والذي يأتي عادةً مع العملة المشفرة التعدين.
وفي الوقت الحالي، لم تحدد Trend Micro الطريقة التي تنتقل من خلالها البرامج الضارة - والتي أطلقوا عليها اسم KORKERDS - إلى العدوى الأنظمة، لكنهم لا يعتقدون أن هذه الموجة الأخيرة من العدوى هي نتيجة لعملية قرصنة جماعية حملة.
وبدلاً من ذلك، يعتقد الباحثون أن المحتالين يستخدمون تطبيقات Linux المسمومة التي تم تعديلها قم بتنزيل وتثبيت برامج تعدين العملات المشفرة KORKERDS بصمت أثناء عملية تثبيت برنامج شرعي برنامج. أي تطبيق؟ لم تكتشف Trend Micro ذلك بعد.
لكن الباحثين قالوا إن عينات KORKERDS التي قاموا بتحليلها مؤخرًا ستفعل أكثر من مجرد تثبيت أداة تعدين Monero - أيضًا تنزيل وتثبيت برنامج rootkit، والذي وصفوه بأنه "نسخة معدلة/مُعاد توجيهها قليلاً من البرامج المتاحة للعامة شفرة."
إلى جانب السماح لـ KORKERDS بالبقاء على قيد الحياة عند إعادة تشغيل نظام التشغيل، فقد احتوى مكون rootkit أيضًا على ميزة غريبة بعض الشيء في التعليمات البرمجية.
تقول Trend Micro أن مؤلفي KORKERDS قاموا بتعديل برنامج rootkit لإخفاء العملية الرئيسية لأداة التشفير من أدوات مراقبة العمليات الأصلية لنظام Linux.
وقال الباحثون: "إن برنامج rootkit يربط واجهات برمجة التطبيقات (APIs) readdir وreaddir64 الخاصة بمكتبة libc". "سوف يتجاوز برنامج rootkit ملف المكتبة العادي عن طريق استبدال ملف readdir العادي بإصدار readdir الخاص ببرنامج rootkit."
يعمل هذا الإصدار الضار من readdir عن طريق إخفاء العمليات المسماة "kworkerds" - وهي في هذه الحالة عملية عمال التشفير.
ستظل أدوات مراقبة عمليات Linux تعرض استخدام وحدة المعالجة المركزية بنسبة 100 بالمائة، لكن لن يتمكن المسؤولون من رؤية (وإيقاف) عملية kworkerds التي تسبب مشاكل في استهلاك موارد وحدة المعالجة المركزية.
تُظهر أداة مراقبة عمليات Linux استخدام وحدة المعالجة المركزية بنسبة 100%، لكن عملية kworkerds هي المسؤولة عن هذه المشكلة
يحتوي تقرير KORKERDS الخاص بـ Trend Micro على انهيار فني روتين الإصابة بالبرامج الضارة، بما في ذلك أسماء الملفات والعمليات وتجزئة الملفات التي قد يهتم مستخدمو Linux بتتبعها واستخدامها لتصحيح أخطاء الأنظمة التي يحتمل أن تكون مصابة.
واستنادًا إلى حقيقة أن KORKERDS يتم توزيعه داخل التطبيقات الشرعية، يشير هذا أيضًا إلى أن البرامج الضارة قد تشكل أيضًا تهديدًا مستخدمي سطح مكتب Linux أيضًا، وليس فقط للخوادم، حيث تمت ملاحظة جميع أدوات تعدين العملات المشفرة لنظام التشغيل Linux تقريبًا في العامين الماضيين سنين.
لم يكن مستخدمو Linux هم الوحيدون الذين تم استهدافهم بواسطة البرامج الضارة المتسللة لتعدين العملات المشفرة. كما نشرت تريند مايكرو تقرير ثان أمس على سلالة أخرى من البرامج الضارة التي استهدفت مستخدمي Windows والتي استخدمت أيضًا تقنيات مختلفة في محاولة للبقاء مخفية قدر الإمكان على الأنظمة المصابة.
التغطية ذات الصلة:
- تعمل Microsoft على نقل Sysinternals إلى Linux
- خوادم Adobe ColdFusion تتعرض لهجوم من مجموعة APT
- تتقاتل شبكتان من شبكات الروبوت للسيطرة على آلاف أجهزة Android غير الآمنة
- لقد طال انتظار مدونة قواعد سلوك Linux TechRepublic
- لينوس تورفالدس ألطف وألطف، ولينكس 4.20
- ثغرة أمنية جديدة تؤثر على معظم توزيعات Linux وBSD
- تحول Nintendo Switch إلى جهاز لوحي يعمل بنظام Linux بواسطة المتسللين سي نت