며칠 전 보안 연구원이 새로운 다양한 Linux 맬웨어를 발견했습니다. 중국 해커가 만든 것으로 보이며 감염된 시스템을 원격으로 제어하는 수단으로 사용되었습니다.
HiddenWasp라고하며, 이 악성 코드는 사용자 모드 루트킷, 트로이 목마 및 초기 배포 스크립트로 구성됩니다.
Linux에서 실행되는 다른 악성 프로그램과 달리 코드와 수집 된 증거는 감염된 컴퓨터가 이미 동일한 해커에 의해 손상되었음을 보여줍니다.
따라서 HiddenWasp의 실행은 이러한 위협의 파괴 사슬에서 고급 단계가 될 것입니다.
이 기사에서는 얼마나 많은 컴퓨터가 감염되었는지 또는 위의 단계가 어떻게 수행되었는지 알 수 없다고 말하지만 대부분의 "백도어"유형 프로그램은 개체를 클릭하여 설치된다는 점에 유의해야합니다. (링크, 이미지 또는 실행 파일), 사용자가 위협임을 인식하지 못합니다.
피해자를 속여 컴퓨터 나 모바일 장치에 HiddenWasp와 같은 소프트웨어 패키지를 설치하도록 트로이 목마가 사용하는 공격의 한 형태 인 사회 공학은 이러한 공격자가 목표를 달성하기 위해 채택한 기술 일 수 있습니다.
탈출 및 억제 전략에서 키트는 바이너리 파일과 함께 bash 스크립트를 사용합니다. Intezer 연구원에 따르면 Total Virus에서 다운로드 한 파일에는 중국에 기반을 둔 법의학 협회 이름이 포함 된 경로가 있습니다.
HiddenWasp 정보
멀웨어 HiddenWasp는 루트킷, 트로이 목마 및 악성 스크립트와 같은 세 가지 위험한 구성 요소로 구성됩니다.
다음 시스템이 위협의 일부로 작동하고 있습니다.
- 로컬 파일 시스템 조작 : 엔진은 피해자의 호스트에 모든 종류의 파일을 업로드하거나 개인 및 시스템 정보를 포함한 사용자 정보를 가로채는 데 사용할 수 있습니다. 이것은 금융 절도 및 신원 도용과 같은 범죄로 이어질 수 있기 때문에 특히 중요합니다.
- 명령 실행 : 주 엔진은 이러한 보안 우회가 포함 된 경우 루트 권한이있는 명령을 포함하여 모든 종류의 명령을 자동으로 시작할 수 있습니다.
- 추가 페이로드 제공 : 생성 된 감염은 랜섬웨어 및 암호 화폐 서버를 포함한 다른 맬웨어를 설치하고 실행하는 데 사용할 수 있습니다.
- 트로이 목마 작업 : HiddenWasp Linux 맬웨어는 영향을받는 컴퓨터를 제어하는 데 사용될 수 있습니다.
또한, 이 악성 코드는 홍콩에 위치한 Think Dream이라는 물리적 서버 호스팅 회사의 서버에서 호스팅됩니다.
Intezer 연구원 인 Ignacio Sanmillan은 자신의 기사에서 "다른 플랫폼에 아직 알려지지 않은 Linux 맬웨어는 보안 커뮤니티에 새로운 문제를 일으킬 수 있습니다."라고 썼습니다.
그는 "이 악성 프로그램이 레이더 아래에 머물러 있다는 사실은 보안 업계가 이러한 위협을 탐지하기 위해 더 많은 노력과 자원을 투입하는 데 위험 신호가되어야합니다"라고 말했습니다.
다른 전문가들도이 문제에 대해 언급했습니다. AT & T Alien Labs의 보안 연구원 Tom Hegel :
“이 툴킷의 일부에는 다양한 오픈 소스 도구와 일부 코드 / 재사용 중복이 있으므로 알려지지 않은 사항이 많이 있습니다. 그러나 대규모 중복 패턴 및 인프라 설계를 기반으로 대상에서의 사용 외에도 Winnti Umbrella와의 연관성을 자신있게 평가합니다.
Tim Erlin, Tripwire의 제품 관리 및 전략 부사장 :
“HiddenWasp는 Linux를 대상으로하는 것 외에는 고유 한 기술이 아닙니다. Linux 시스템에서 중요한 파일 변경 사항, 새 파일이 나타나는지 또는 기타 의심스러운 변경 사항이 있는지 모니터링하는 경우 맬웨어는 HiddenWasp로 식별 될 수 있습니다.”
내 시스템이 손상되었는지 어떻게 알 수 있습니까?
시스템이 감염되었는지 확인하기 위해 "ld.so"파일을 찾을 수 있습니다. 파일에 '/etc/ld.so.preload'문자열이 포함되어 있지 않으면 시스템이 손상 될 수 있습니다.
이는 트로이 목마 이식이 ld.so의 인스턴스를 패치하여 임의의 위치에서 LD_PRELOAD 메커니즘을 적용하기 때문입니다.