Néhány napja A biztonsági kutatók felfedezték a Linux rosszindulatú programjainak új változatát Úgy tűnik, hogy kínai hackerek hozták létre, és a fertőzött rendszerek távvezérlésének eszközeként használták fel.
HiddenWasp néven Ez a kártevő egy felhasználói módú rootkitből, egy trójai programból és egy kezdeti telepítési parancsfájlból áll.
Más Linuxon futó rosszindulatú programokkal ellentétben, a kód és az összegyűjtött bizonyítékok azt mutatják, hogy a fertőzött számítógépeket már ugyanazok a hackerek veszélyeztették.
A HiddenWasp végrehajtása tehát előrehaladott szakasz lenne a fenyegetés megsemmisítésének láncolatában.
Bár a cikk azt mondja, hogy nem tudjuk, hány számítógép volt fertőzött, vagy hogyan hajtották végre a fenti lépéseket, meg kell jegyezni, hogy a legtöbb "Backdoor" típusú programot egy objektumra kattintva telepítik. (link, kép vagy futtatható fájl), anélkül, hogy a felhasználó rájönne, hogy fenyegetést jelent.
A szociális mérnöki munka, amely a trójai programok által megtámadott támadásokkal becsapja az áldozatokat olyan szoftvercsomagok telepítésére, mint a HiddenWasp, számítógépeikre vagy mobilkészülékeikre, lehet ez a technika, amelyet ezek a támadók alkalmaznak céljaik elérése érdekében.
Szökési és elrettentési stratégiájában a készlet egy bash szkriptet használ, bináris fájl kíséretében. Az Intezer kutatói szerint a Total Virusból letöltött fájlok elérési útja egy Kínában székelő igazságügyi orvostársadalom nevét tartalmazza.
A HiddenWasp-ről
Rosszindulatú A HiddenWasp három veszélyes összetevőből áll, mint például a Rootkit, a Trojan és egy rosszindulatú parancsfájl.
A fenyegetés részeként a következő rendszerek működnek.
- Helyi fájlrendszer-manipuláció: A motor segítségével mindenféle fájlt feltölthet az áldozat gazdáihoz, vagy eltérítheti a felhasználói információkat, beleértve a személyes és a rendszer adatait is. Ez különösen aggasztó, mivel felhasználható bűncselekményekhez, például pénzügyi lopáshoz és személyazonosság-lopáshoz.
- Parancs végrehajtása: a fő motor automatikusan elindíthat mindenféle parancsot, beleértve a root jogosultsággal rendelkezőket is, ha ilyen biztonsági megkerülés szerepel.
- További hasznos teher szállítás: a létrehozott fertőzések felhasználhatók más rosszindulatú programok, köztük ransomware és cryptocurrency szerverek telepítésére és elindítására.
- Trójai műveletek: A HiddenWasp Linux kártevő segítségével átveheti az érintett számítógépek irányítását.
Ezen túlmenően, a rosszindulatú programot a Think Dream nevű fizikai szervertároló cég szerverein tárolják, Hongkongban.
"A más platformok számára még ismeretlen Linux malware új kihívásokat jelenthet a biztonsági közösség számára" - írta cikkében Ignacio Sanmillan, az Intezer kutatója.
"Az a tény, hogy ennek a rosszindulatú programnak sikerül a radar alatt maradnia, vörös zászlónak kell lennie a biztonsági ipar számára, hogy több erőfeszítést vagy erőforrást fordítson ezeknek a fenyegetéseknek a felderítésére" - mondta.
Más szakértők is kommentálták az ügyet, Tom Hegel, az AT&T Alien Labs biztonsági kutatója:
„Nagyon sok ismeretlen található, mivel ennek az eszköztárnak a darabjai némi kód / újrafelhasználhatóság átfedésben vannak a különböző nyílt forráskódú eszközökkel. Az átfedések és az infrastruktúra tervezésének nagy mintája alapján azonban a célokban történő felhasználás mellett magabiztosan értékeljük a Winnti Umbrellával való kapcsolatot.
Tim Erlin, a Tripwire termékmenedzsmentért és stratégiáért felelős alelnöke:
„A HiddenWasp a technológiáját tekintve nem egyedülálló, csak a Linux megcélzása. Ha figyelemmel kíséri Linux rendszereit a kritikus fájlmódosítások, új fájlok megjelenése vagy más gyanús változások esetén, akkor a rosszindulatú programot valószínűleg HiddenWasp-ként azonosítják ”
Honnan tudhatom, hogy a rendszerem sérül?
Annak ellenőrzésére, hogy a rendszerük fertőzött-e, megkereshetik az "ld.so" fájlokat. Ha bármelyik fájl nem tartalmazza az „/etc/ld.so.preload” karakterláncot, a rendszer sérülhet.
Ez azért van, mert a trójai implantátum megpróbálja az ld.so példányokat javítani, hogy az LD_PRELOAD mechanizmust tetszőleges helyekről érvényesítse.
forrás: https://www.intezer.com/