Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il Mining di Criptovaluta dà l'assalto a Linux: un'analisi dei Lab di Sicurezza Quick Heal
- MARTEDÌ 22 MAGGIO 2018


I Quick Heal Security Labs hanno recentemente individuato un miner per Monero Linux-based. Moneto (XMR) è una delle prime 15 cripto valute al mondo. Può essere facilmente estratta su qualsiasi macchina sfruttando il potere di calcolo della CPU. Questa è una delle ragioni per la quale Monero viene preferito ai Bitcoin o agli Ethereum, più famosi di Monero, ma bisognosi di grandissimo potenziale di calcolo. In questo post forniamo un'analisi dettagliata di questo miner per Monero Linux-based.

Catena d'infezione
'c3.sh' è un source file per questa campagna di mining di Monero. Molto probabilmente lo scirpt c3.sh viene iniettato nella macchina bersaglio con un attacco di brute force sull'SSH. 


Vediamo più nel dettaglio la catena d'infezione.

Lo script Shell per la distribuzione del miner di Monero.


Come mostrato, usando il comando 'nproc', lo script Shell 'c3.sh' verifica per il numero di core CPU presenti nel sistema dell'utente. Se è inferiore o uguale a 4, lo script si terminerà, altrimenti eseguirà le seguenti operazioni:
  1. arresterà ogni processo relativo al mining di Monero se già presente sul sistema dell'utente;
  2. scaricherà il file .tar per il miner di Monero da una location remota;
  3. decomprimerà l'archivio mine64b.tar e assegnerà a tutti i contenuti estratti le permissioni utili, usando il comando chmod;
  4. eseguirà lo script 'X'.
Dopo la decompressione di mine68b.tar, verranno copiati sul pc i seguenti file:
  • X. uno script Shell: usa il comando 'nohup' per consentire allo script A di eseguirsi continuamente in background anche se l'utente esegue il logout o chiude la shell. 
  • A. uno script Shell.
  • run. uno script Shell:  lancia il binario del miner di Monero.

Come si vede dalla figura, l'algoritmo per il mining è cryptonight, uno degli algoritmi di mining adattati per le CPU: può essere usato per estrarre anche altre valute, come Bytecoin (BCN) o Electroeum (ETN). 

stratum+tcp è invece il protocollo di mining di criptovaluta.  Infine l'indirizzo Wallet è il "conto" dove verranno trasferiti i Monero minati: è il "conto" degli attaccanti. 
  • h32: launcher del Monero miner per sistemi a 32-bit.
  • h64: launcher del Monero miner per sistemi 64.bit.
  • md: file del Monero Miner.
  • mdx: file del Moneto Miner.
Attività post infezione
Una volta eseguito, il miner di Monero genera il seguente traffico post infezione.


Nella foto sotto possiamo vedere l'attività di mining: in questo caso, il miner md32 viene eseguito portando il consumo della CPU al 99,3% per il mining. 


Misure di sicurezza
  • disabilita il protocollo SSH se non in uso;
  • proteggi l'SSH con solide username e password;
  • usa una connessione VPN nella rete, invece di lasciare esposto in Internet l'SSH;
  • configura il tuo Firewall nella seguente maniera:
    1. nega l'accesso a IP pubblici su porte importanti;
    2. concedi l'accesso solo a IP che sono sotto il tuo controllo.
Conclusioni: 
è una leggenda metropolitana la storia che Linux è al sicuro dai malware. Anzi, gli attaccanti sono solitamente ben preparati nell'uso di macchine Linux per il mining. Il mercato delle criptovalute è molto ampio e ci aspettiamo ina crescita degli attacchi con questo fine contro macchine Linux. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login