Joitakin päiviä sitten Turvallisuustutkijat ovat löytäneet uudenlaisen Linux-haittaohjelman Sen näyttävät luoneet kiinalaiset hakkerit ja sitä on käytetty keinona tartunnan saaneiden järjestelmien etähallintaan.
Kutsutaan HiddenWasp, Tämä haittaohjelma koostuu käyttäjätilan rootkitistä, troijalaisesta ja alustavasta käyttöönottosarjasta.
Toisin kuin muut Linuxissa toimivat haittaohjelmat, koodi ja kerätty todiste osoittavat, että samat hakkerit ovat jo vaarantaneet tartunnan saaneet tietokoneet.
HiddenWasp-teloitus olisi siis edistynyt vaihe tämän uhan tuhoamisketjussa.
Vaikka artikkelissa sanotaan, että emme tiedä kuinka monta tietokonetta oli saanut tartunnan tai kuinka yllä olevat vaiheet suoritettiin, on huomattava, että suurin osa "Backdoor" -tyyppisistä ohjelmista asennetaan napsauttamalla objektia. (linkki, kuva tai suoritettava tiedosto), ilman että käyttäjä ymmärtää, että se on uhka.
Sosiaalinen suunnittelu, joka on troijalaisten hyökkäysmuoto uhrien huijaamiseksi asentamaan HiddenWasp-tyyppisiä ohjelmistopaketteja tietokoneisiinsa tai mobiililaitteisiinsa, voi olla tekniikka, jonka nämä hyökkääjät käyttävät tavoitteidensa saavuttamiseksi.
Pako- ja varoittamisstrategiassaan pakki käyttää bash-komentosarjaa, johon liittyy binaaritiedosto. Intezerin tutkijoiden mukaan Total Virus -palvelusta ladatuilla tiedostoilla on polku, joka sisältää Kiinassa sijaitsevan oikeuslääketieteen yhteiskunnan nimen.
Tietoja HiddenWaspista
haittaohjelmat HiddenWasp koostuu kolmesta vaarallisesta komponentista, kuten Rootkit, Trojan ja haittaohjelma.
Seuraavat järjestelmät toimivat osana uhkaa.
- Paikallisen tiedostojärjestelmän käsittely: Moottorilla voidaan ladata kaikenlaisia tiedostoja uhrin isäntiin tai kaapata kaikki käyttäjätiedot, mukaan lukien henkilökohtaiset ja järjestelmätiedot. Tämä on erityisen huolestuttavaa, koska sitä voidaan käyttää johtamaan rikoksiin, kuten taloudellisiin varkauksiin ja henkilöllisyysvarkauksiin.
- Komennon toteutus: päämoottori voi käynnistää kaikenlaiset komennot, mukaan lukien pääkäyttöoikeudet, jos tällainen suojauksen ohitus sisältyy.
- Lisäkuorman toimitus: luotuja infektioita voidaan käyttää muiden haittaohjelmien, mukaan lukien lunnasohjelmat ja kryptovaluuttapalvelimet, asentamiseen ja käynnistämiseen.
- Troijan toiminta: HiddenWasp Linux -haittaohjelmia voidaan käyttää hallitsemaan tietokoneita, joihin ongelma vaikuttaa.
Lisäksi, haittaohjelma isännöitiin Hong Kongissa sijaitsevan Think Dream -nimisen fyysisen palvelimen isäntäyrityksen palvelimilla.
"Muille alustoille vielä tuntematon Linux-haittaohjelma voi luoda uusia haasteita turvallisuusyhteisölle", kirjoitti artikkelissaan Intezerin tutkija Ignacio Sanmillan
"Sen, että tämä haittaohjelma onnistuu pysymään tutkan alla, pitäisi olla punainen lippu turvallisuusalalle, jotta se voi osoittaa enemmän vaivaa tai resursseja näiden uhkien havaitsemiseksi", hän sanoi.
Myös muut asiantuntijat kommentoivat asiaa, Tom Hegel, AT&T Alien Labsin tietoturvatutkija:
”Tuntemattomia on paljon, koska tämän työkalupaketin kappaleissa on jonkin verran koodia / uudelleenkäyttöä päällekkäisyyksiä erilaisten avoimen lähdekoodin työkalujen kanssa. Suuren päällekkäisyyden ja infrastruktuurin suunnittelun perusteella arvioimme kuitenkin luotettavasti yhteyttä Winnti Umbrellaan sen lisäksi, että sitä käytetään kohteissa.
Tim Erlin, Tripwiren tuotehallinnosta ja strategiasta vastaava johtaja:
”HiddenWasp ei ole ainutlaatuinen tekniikallaan, lukuun ottamatta kohdistamista Linuxiin. Jos seuraat Linux-järjestelmiäsi kriittisten tiedostomuutosten, uusien tiedostojen ilmestymisen tai muiden epäilyttävien muutosten varalta, haittaohjelma tunnistetaan todennäköisesti HiddenWaspiksi ”
Mistä tiedän, että järjestelmäni on vaarantunut?
Voit tarkistaa, onko heidän järjestelmässään tartunta, he voivat etsiä "ld.so" -tiedostoja. Jos jokin tiedostoista ei sisällä merkkijonoa /etc/ld.so.preload, järjestelmäsi saattaa vaarantua.
Tämä johtuu siitä, että troijalainen implantti yrittää korjata ld.so-esiintymiä pakottaakseen LD_PRELOAD-mekanismin mielivaltaisista sijainneista.
lähde: https://www.intezer.com/