कुछ दिनों पहले सुरक्षा शोधकर्ताओं ने लिनक्स मालवेयर की एक नई किस्म की खोज की है ऐसा प्रतीत होता है कि चीनी हैकरों द्वारा बनाया गया है और इसका उपयोग संक्रमित प्रणालियों को दूर से नियंत्रित करने के साधन के रूप में किया गया है।
जिसे हिडनवैप कहा जाता है, इस मैलवेयर में एक उपयोगकर्ता-मोड रूटकिट, एक ट्रोजन और एक प्रारंभिक परिनियोजन स्क्रिप्ट शामिल है।
लिनक्स पर चलने वाले अन्य दुर्भावनापूर्ण कार्यक्रमों के विपरीत, कोड और एकत्र किए गए सबूत बताते हैं कि संक्रमित कंप्यूटर पहले ही इन हैकरों द्वारा समझौता कर चुके हैं।
इसलिए हिडनवैप का निष्पादन इस खतरे के विनाश की श्रृंखला में एक उन्नत चरण होगा।
यद्यपि लेख कहता है कि हम नहीं जानते हैं कि कितने कंप्यूटर संक्रमित थे या उपरोक्त चरण कैसे निष्पादित किए गए थे, यह ध्यान दिया जाना चाहिए कि किसी ऑब्जेक्ट पर क्लिक करके अधिकांश "बैकडोर" प्रकार के प्रोग्राम स्थापित किए जाते हैं। (लिंक, छवि या निष्पादन योग्य फ़ाइल), उपयोगकर्ता को यह महसूस किए बिना कि यह एक खतरा है।
सोशल इंजीनियरिंग, जो ट्रोजन द्वारा अपने कंप्यूटर या मोबाइल उपकरणों पर हिडनवैप जैसे सॉफ़्टवेयर पैकेज स्थापित करने में पीड़ितों को बरगलाने के लिए इस्तेमाल किया जाने वाला हमला है, इन हमलावरों द्वारा अपने लक्ष्यों को प्राप्त करने के लिए अपनाई जाने वाली तकनीक हो सकती है।
इसकी भागने और निरोध रणनीति में, किट एक द्विआधारी फ़ाइल के साथ बैश स्क्रिप्ट का उपयोग करता है। इंटेगर के शोधकर्ताओं के अनुसार, टोटल वायरस से डाउनलोड की गई फाइलों में एक रास्ता होता है जिसमें चीन स्थित एक फॉरेंसिक सोसायटी का नाम होता है।
हिडनवैप के बारे में
मैलवेयर हिडनवैप तीन खतरनाक घटकों से बना है, जैसे रूटकिट, ट्रोजन और एक दुर्भावनापूर्ण स्क्रिप्ट।
निम्नलिखित सिस्टम खतरे के हिस्से के रूप में काम कर रहे हैं।
- स्थानीय फ़ाइल सिस्टम हेरफेर: इंजन का उपयोग सभी प्रकार की फाइलों को पीड़ित के मेजबानों पर अपलोड करने या किसी भी उपयोगकर्ता की जानकारी को छिपाने के लिए किया जा सकता है, जिसमें व्यक्तिगत और सिस्टम जानकारी शामिल है। यह विशेष रूप से संबंधित है क्योंकि इसका उपयोग वित्तीय चोरी और पहचान की चोरी जैसे अपराधों के लिए किया जा सकता है।
- कमांड निष्पादन: मुख्य इंजन स्वचालित रूप से सभी प्रकार के कमांड शुरू कर सकता है, जिसमें रूट अनुमति वाले लोग शामिल हैं, अगर इस तरह के सुरक्षा बाईपास शामिल हैं।
- अतिरिक्त पेलोड वितरण: रैंसमवेयर और क्रिप्टोकरेंसी सर्वर सहित अन्य मैलवेयर को स्थापित और लॉन्च करने के लिए निर्मित संक्रमणों का उपयोग किया जा सकता है।
- ट्रोजन संचालन: हिडन कंप्यूटर लिनक्स मैलवेयर का उपयोग प्रभावित कंप्यूटरों को नियंत्रित करने के लिए किया जा सकता है।
इसके अलावा, मैलवेयर हांगकांग में स्थित थिंक ड्रीम नामक एक भौतिक सर्वर होस्टिंग कंपनी के सर्वर पर होस्ट किया जाएगा।
"लिनक्स मालवेयर अभी भी अन्य प्लेटफॉर्मों के लिए अज्ञात है, सुरक्षा समुदाय के लिए नई चुनौतियां पैदा कर सकता है," इंटेगर के शोधकर्ता इग्नासियो सैनीमिल ने अपने लेख में लिखा है
"तथ्य यह है कि यह दुर्भावनापूर्ण कार्यक्रम रडार के तहत रहने का प्रबंधन करता है, सुरक्षा उद्योग को इन खतरों का पता लगाने के लिए अधिक प्रयास या संसाधन समर्पित करने के लिए एक लाल झंडा होना चाहिए," उन्होंने कहा।
अन्य विशेषज्ञों ने भी इस मामले पर टिप्पणी की, टॉम हेगेल, एटी एंड टी एलियन लैब के सुरक्षा शोधकर्ता:
“बहुत सारे अज्ञात हैं, क्योंकि इस टूलकिट के टुकड़ों में विभिन्न खुले स्रोत उपकरणों के साथ कुछ कोड / पुन: प्रयोज्य ओवरलैप्स हैं। हालांकि, ओवरलैप और बुनियादी ढांचे के डिजाइन के एक बड़े पैटर्न के आधार पर, लक्ष्यों में इसके उपयोग के अलावा, हम आत्मविश्वास से विन्ती छाता के साथ एसोसिएशन का मूल्यांकन करते हैं। '
टिम Erlin, उपाध्यक्ष, उत्पाद प्रबंधन और रणनीति Tripwire पर:
“लिनक्स में लक्षित होने के अलावा, हिडन प्रौद्योगिकी अपनी तकनीक में अद्वितीय नहीं है। यदि आप महत्वपूर्ण फ़ाइल परिवर्तनों के लिए या प्रकट होने वाली नई फ़ाइलों के लिए, या अन्य संदिग्ध परिवर्तनों के लिए अपने लिनक्स सिस्टम की निगरानी कर रहे हैं, तो मैलवेयर को हिडनवैप के रूप में पहचाना जा सकता है।
मुझे कैसे पता चलेगा कि मेरी प्रणाली से छेड़छाड़ की गई है?
यह जांचने के लिए कि क्या उनका सिस्टम संक्रमित है, वे "ld.so" फाइलों को देख सकते हैं। यदि किसी भी फाइल में स्ट्रिंग '/etc/ld.so.preload' नहीं है, तो आपके सिस्टम से समझौता किया जा सकता है।
ऐसा इसलिए है क्योंकि ट्रोजन इम्प्लांट एलडी_पीआरओएलएडी तंत्र को मध्यस्थ स्थानों से लागू करने के लिए ld.so के उदाहरणों को पैच करने की कोशिश करेगा।
Fuente: https://www.intezer.com/