Cách tiêu diệt phần mềm độc hại Kinsing (kdevtmpfsi)

Tác giả Starlink, T.M.Một 29, 2024, 04:10:21 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Phần mềm độc hại Kinsing đang nhắm mục tiêu vào các container Docker được cấu hình sai, đặc biệt là các phiên bản redis (cổng 6379). Phần mềm độc hại đang chạy một quy trình linux ở chế độ nền: kdevtmpfsi, chiếm bộ xử lý và bộ nhớ của máy chủ.

Mục đích chính của vi-rút là thiết lập một trình khai thác tiền điện tử. Có vẻ như các cuộc tấn công vào môi trường container đã gia tăng gần đây, với số lượng các trường hợp tăng đột biến vào tháng 3 năm 2020.


Dưới đây, chúng tôi cung cấp một số giải pháp khả thi để giải quyết vấn đề.

1. Xác định vấn đề với kdevtmpfsi

Có quyền truy cập root vào máy chủ có thể giúp tìm và xóa phần mềm độc hại.

Kiểm tra xem tiến trình độc hại có đang chạy không

Mã nguồn [Chọn]
htop
Tìm các tập tin bị nhiễm.

Mã nguồn [Chọn]
find / -name kdevtmpfsi
find / -name kinsing

2. Giải pháp với tập lệnh Bash

Mã nguồn [Chọn]
# /root/scripts/ctKillProc.sh
#!/bin/sh
# do what you need to here
while true; do
processId=$(ps -ef | grep 'kdevtmpfsi' | grep -v 'grep' | awk '{ printf $2 }')
echo $processId
kill -9 $processId
echo "["`date +%Y%m%d%H%M`"] kdevtmpfsi killed."
sleep 20
done
exit 1

Chạy tập lệnh ở chế độ nền.

Mã nguồn [Chọn]
nohup sh /root/scripts/ctKillProc.sh &
Bây giờ, tập lệnh sẽ được thực thi ở chế độ nền để giải quyết vấn đề phần mềm độc hại Kinsing của bạn ngay cả khi bạn đóng kết nối shell. Nhật ký tập lệnh có thể được tìm thấy trong tệp nohup.out.

3. Có gì mới về kdevtmpfsi trong năm 2024?

Tính đến năm 2024, các nhà nghiên cứu an ninh mạng đã phát hiện ra những khía cạnh mới của phần mềm độc hại được ngụy trang thành kdevtmpfsi. Trước đây được cho là một phần ít tinh vi hơn của hoạt động khai thác tiền điện tử bất hợp pháp, các cuộc điều tra gần đây đã tiết lộ rằng kdevtmpfsi đã phát triển với các chức năng phức tạp hơn. Dưới đây là các bản cập nhật chính:

Kỹ thuật che giấu nâng cao: Kdevtmpfsi đã tích hợp các kỹ thuật mã hóa tiên tiến để ngăn chặn việc phát hiện và phân tích của các công cụ bảo mật. Nó sử dụng các chữ ký mã đa hình, thay đổi theo từng lần nhiễm, khiến các giải pháp diệt vi-rút khó nhận ra và chặn hơn.

Cơ chế duy trì: Các nhà nghiên cứu đã phát hiện ra rằng kdevtmpfsi hiện sử dụng các phương pháp bền bỉ hơn để tồn tại sau khi khởi động lại và cập nhật hệ thống. Nó sửa đổi các tệp hệ thống cấp thấp và khóa sổ đăng ký, khiến việc xóa thủ công ngày càng trở nên khó khăn.

Khả năng của phần mềm độc hại không có tệp: Các trường hợp mới của kdevtmpfsi đã được quan sát thấy hoạt động theo cách không có tệp, nằm hoàn toàn trong bộ nhớ. Điều này khiến việc phát hiện và xóa nó đặc biệt khó khăn vì nó không để lại dấu vết trên ổ cứng.

Truyền thông chỉ huy và kiểm soát động (C2): Phần mềm độc hại đã cập nhật giao thức truyền thông C2, sử dụng các kênh được mã hóa và thường xuyên thay đổi máy chủ C2 để tránh bị đưa vào danh sách đen. Nó sử dụng thuật toán tạo miền (DGA) để tìm nạp động các máy chủ lệnh mới.

Các cuộc tấn công có mục tiêu: Nó đã chuyển từ các cuộc tấn công ngẫu nhiên, lan rộng sang các chiến dịch có mục tiêu cụ thể hơn. Các lĩnh vực cụ thể như chăm sóc sức khỏe, tài chính và cơ sở hạ tầng quan trọng đã được xác định là mục tiêu có giá trị cao, cho thấy động thái hướng tới các nỗ lực gián điệp mạng mang tính chiến lược hơn.

Kỹ thuật chống pháp y: Các kỹ thuật chống pháp y nâng cao đã được nhúng trong kdevtmpfsi. Chúng bao gồm các thói quen tự xóa sau khi hoàn thành nhiệm vụ và khả năng phát hiện môi trường ảo hoặc hộp cát, ngăn các nhà nghiên cứu phân tích phần mềm độc hại trong các cài đặt được kiểm soát.