Il y a quelques minutes nous avons publié un article dans lequel nous disions qu'il n'y a pas de logiciel parfait. Et est-ce que les navigateurs comme Chrome, Edge ou Safari sont "faciles" à pirater. Dans l'article, nous disions que les logiciels sont imparfaits, et il en est ainsi dans les programmes / applications ainsi que dans les systèmes d'exploitation, mais on parlait de vulnérabilités trouvées dans les programmes. Maintenant, nous devons faire de même, mais sur les systèmes d'exploitation: un nouveau malware qui affecte Linux et Windows a été découvert et son nom est ACPorte dérobée.
comme a signalé Bleeping Computer, les chercheurs en sécurité ont découvert une nouvelle porte dérobée multiplateforme qui affecte les systèmes d'exploitation Windows et Linux. Ce malware pourrait être utilisé pour exécuter du code malveillant et des binaires sur des ordinateurs compromis. À première vue, il est développé par un groupe expérimenté dans le développement d'outils malveillants pour Linux, selon les mots d'Ignacio Sanmillan d'Intenzer.
ACBackdoor est plus dangereux sous Linux que sous Windows
Il existe deux variantes et les deux partagent le même serveur de commande et de contrôle (C2). Les voies d'infection qu'ils utilisent sont différentes: la version Windows est promue par malvertising avec l'aide du Fallout Exploit Kit, tandis que La charge utile Linux est abandonnée via un système de livraison encore inconnu.
La dernière version du malware cible les vulnérabilités CVE-2018-15982, liées avec flash PlayerEt l' CVE-2018-8174, lié au moteur VBScript d'Internet Explorer. Dans les deux cas, l'intention est d'infecter les visiteurs des pages Web contrôlées par l'attaquant. Nous pourrions dire que, bien que nous insistions sur le fait qu’il n’existe pas de logiciel parfait, dans le cas de Flash Player, il pleut trop humide.
La chose la plus étrange, ou disons moins courante, est que la version Windows ne représente pas une menace complexe. La version d'ACBackdoor de Windows est un "port" de Linux:
L'implant Linux a été remarquablement mieux écrit que l'implant Windows, mettant en évidence la mise en œuvre du mécanisme de persistance ainsi que les différentes commandes de porte dérobée et des fonctionnalités supplémentaires non vues dans la version Windows, telles que la création de processus séparés et le changement de nom des processus.
Comment fonctionne cette porte dérobée
Après avoir infecté un ordinateur, le logiciel malveillant commencera à collecter des informations système, y compris son architecture et son adresse MAC. Pour ce faire, il utilise des outils spécifiques à la plate-forme, avec des fonctions API Windows sur Windows, et le programme UNIX uname couramment utilisé pour imprimer les informations système sous Linux. Une fois les tâches de collecte d'informations terminées, ACBackdoor ajoutera une entrée au registre Windows et créera plusieurs liens symboliques, tandis que sous Linux, il créera un script initrd pour atteindre la persistance et se lancer automatiquement à chaque redémarrage.
Sous Windows, la porte dérobée tentera également de se déguiser en processus MsMpEng.exe, l'utilitaire anti-programme malveillant et logiciel espion Windows Defender de Microsoft. Sous Linux, il sera camouflé en émulant le nouvel utilitaire de notification de mise à jour d'Ubuntu (UpdateNotifier) et renommera votre processus comme [kworker / u8: 7-ev], qui est lié au noyau Linux.
ACBackdoor envoie des informations via HTTPS
Pour communiquer avec le serveur C2, les deux variantes du malware utiliser HTTPS comme canal de communication, en envoyant toutes les informations collectées sous forme de charge utile encodée BASE64. D'autre part, ACBackdoor peut recevoir des informations, exécuter et mettre à jour des commandes dudit serveur C2, ce qui permet à ses propriétaires d'exécuter des commandes shell, des binaires et de mettre à jour le malware déjà présent dans un système infecté.
Le bon sens est le meilleur moyen d'éviter ce problème et d'autres problèmes liés aux logiciels malveillants. La première chose à faire est de ne pas visiter des pages Web d'origine douteuse, ce qu'un navigateur moderne aide à nous avertir si un site Web est / pourrait être dangereux. D'un autre côté, et cela est vrai pour tout système d'exploitation, il vaut toujours la peine d'avoir logiciel bien mis à jour que nous utilisons. Il n'existe pas de logiciel parfait, qui inclut les systèmes d'exploitation, et ACBackdoor en est la dernière preuve.
Basé sur flashplayer ... veuillez consulter un psychiatre.
Qui est l'opa le cube qui utilise encore flashplayer, qui n'existe pas depuis des années.
Je crois vraiment que cette presse est payée pour défaire gnu / linux, je n'ai pas beaucoup plus d'options à penser, mauvaise, mauvaise, TRÈS MAUVAISE.
Si vous avez un ordinateur portable ou un PC et que vous utilisez votre navigateur, quel qu'il soit, je suis sûr que vous utiliserez Adobe Flash Player, car sans cela, vous n'obtiendrez pas la moitié des publicités et les pages ne fonctionnent pas bien non plus. Si tu n'en sais rien, ne dis rien
Ufffff, pour faire attention alors aux endroits douteux, de nos jours pratiquement personne n'est totalement à l'abri. Très bon article compadre, salutations.
Des outils de nettoyage ont-ils été créés pour Linux contre ces infections?
Outils de nettoyage?
Il installera un antimalware, ni plus ni moins. C'est pourquoi je n'utilise pas Linux, tout ce qui se faufile là-dedans reste, ne voyant que des serveurs avec des chevaux de Troie à l'intérieur pendant des années.