Layanan Redis yang rentan telah menjadi sasaran varian malware Baru, lebih baik, dan lebih berbahaya yang disebut SkidMap yang dirancang untuk menargetkan berbagai distribusi Linux. Sifat malware Linux SkidMap ini beradaptasi dengan sistem tempat malware tersebut dijalankan.
Beberapa distribusi Linux yang diincar SkidMap termasuk Alibaba, Anolis, openEuler, EulerOS, Stream, CentOS, RedHat, dan Rocky. SkidMap pertama kali diungkapkan oleh Trend Micro pada bulan September 2019 sebagai botnet untuk mining crypto dengan kemampuan memuat modul kernel berbahaya yang dapat mengaburkan aktivitasnya serta memantau proses penambang.
Operator malware juga ditemukan dengan menyamarkan alamat IP perintah dan kontrol (C2) cadangan mereka di blockchain Bitcoin yang mengingatkan kita pada malware botnet lain yang dikenal sebagai Glupteba. Teknik mengambil data real-time dari sumber data yang terdesentralisasi dan pada dasarnya tidak dapat disensor untuk menghasilkan alamat IP C2 membuat infeksi sulit untuk dihilangkan dan membuat perputaran alamat IP C2 menjadi sederhana dan cepat.
Rantai serangan terbaru yang didokumentasikan oleh Trustwave melibatkan pelanggaran terhadap server Redis yang tidak diamankan dengan baik untuk menyebarkan skrip dropper shell yang dirancang untuk mendistribusikan biner ELF yang menyamar sebagai file gambar GIF. Biner kemudian melanjutkan untuk menambahkan kunci SSH ke file “/root/.ssh/authoried_keys”, menonaktifkan SELinux, membuat shell terbalik yang melakukan ping ke server yang dikontrol pelaku setiap 60 menit dan akhirnya mengunduh paket yang sesuai berdasarkan distribusi Linux dan kernel yang digunakan.
Paket ini pada bagiannya dilengkapi dengan beberapa skrip shell untuk menginstal modul kernel dan mengambil langkah-langkah untuk menutupi jejak dengan membersihkan log dan meluncurkan komponen botnet yang mampu mengambil muatan rootkit tambahan yaitu mcpuinfo.ko untuk menyembunyikan proses penambang, dan kmeminfo.ko untuk menganalisis, memodifikasi, atau menghapus paket jaringan.
Yang juga diunduh adalah biner penambang itu sendiri, meskipun dalam beberapa varian penambang bawaan dari file biner ‘GIF’ yang diekstrak digunakan. Tingkat kemajuan malware ini sangat tinggi dan mendeteksinya terutama di infrastruktur server yang lebih besar, bisa jadi sangat sulit. Saat mengujinya di komputer rumah, satu-satunya indikator serius bahwa ada sesuatu yang salah adalah kipas berputar secara berlebihan dan dalam kasus laptop suhu casingnya menjadi panas.