Pirms dažām dienām Drošības pētnieki ir atklājuši jaunu Linux ļaunprātīgas programmatūras šķirni Šķiet, ka to ir izveidojuši ķīniešu hakeri, un to izmanto kā līdzekli, lai attālināti kontrolētu inficētās sistēmas.
Sauc HiddenWasp, Šī ļaunprātīgā programmatūra sastāv no lietotāja režīma rootkit, Trojas zirga un sākotnējā izvietošanas skripta.
Atšķirībā no citām ļaunprātīgām programmām, kas darbojas Linux, kods un savāktie pierādījumi liecina, ka inficētos datorus jau ir apdraudējuši šie paši hakeri.
Tāpēc HiddenWasp izpildīšana būtu progresīvs posms šo draudu iznīcināšanas ķēdē.
Lai gan rakstā teikts, ka mēs nezinām, cik datoru bija inficēti vai kā tika veiktas iepriekš minētās darbības, jāatzīmē, ka lielākā daļa "Backdoor" tipa programmu tiek instalētas, noklikšķinot uz objekta. (saite, attēls vai izpildāms fails), lietotājam neapzinoties, ka tas ir drauds.
Sociālā inženierija, kas ir Trojas zirgu uzbrukuma veids, lai maldinātu upurus datoros vai mobilajās ierīcēs instalēt tādas programmatūras paketes kā HiddenWasp, varētu būt paņēmiens, ko šie uzbrucēji izmanto savu mērķu sasniegšanai.
Savā bēgšanas un atturēšanas stratēģijā komplektā tiek izmantots bash skripts, kam pievienots binārs fails. Pēc Intezer pētnieku domām, no Total Virus lejupielādētajiem failiem ir ceļš, kas satur tiesu medicīnas sabiedrības, kas atrodas Ķīnā, nosaukumu.
Par HiddenWasp
Ļaunprātīga programmatūra HiddenWasp veido trīs bīstami komponenti, piemēram, Rootkit, Trojan un ļaunprātīgs skripts.
Kā daļa no draudu darbojas šādas sistēmas.
- Vietējās failu sistēmas manipulācijas: Motoru var izmantot, lai augšupielādētu visa veida failus upura saimniekdatoros vai nolaupītu visu lietotāja informāciju, ieskaitot personisko un sistēmas informāciju. Tas jo īpaši attiecas uz to, ka to var izmantot, lai izraisītu tādus noziegumus kā finanšu zādzība un identitātes zādzība.
- Komandas izpilde: galvenais dzinējs var automātiski iedarbināt visu veidu komandas, ieskaitot tās, kurām ir root tiesības, ja ir iekļauta šāda drošības apvedceļš.
- Papildu kravas piegāde: izveidotās infekcijas var izmantot, lai instalētu un palaistu citu ļaunprātīgu programmatūru, tostarp izpirkuma programmatūru un kriptovalūtas serverus.
- Trojas operācijas: HiddenWasp Linux ļaunprātīgu programmatūru var izmantot, lai pārņemtu kontroli pār ietekmētajiem datoriem.
Turklāt, ļaunprātīgā programmatūra tiktu mitināta Honkongā esošā fiziskā servera mitināšanas uzņēmuma Think Dream serveros.
"Linux ļaunprogrammatūra, kas joprojām nav zināma citām platformām, varētu radīt jaunus izaicinājumus drošības kopienai," rakstā raksta Intezer pētnieks Ignacio Sanmillan
"Fakts, ka šai ļaunprātīgajai programmai izdodas palikt zem radara, drošības nozarei vajadzētu būt sarkanajam karogam, lai veltītu vairāk pūļu vai resursu, lai atklātu šos draudus," viņš teica.
Citi eksperti arī komentēja šo jautājumu, Toms Hegels, AT&T Alien Labs drošības pētnieks:
“Ir daudz nezināmu, jo šī rīkkopa gabalos ir daži kodu / atkārtotas izmantošanas pārklāšanās ar dažādiem atvērtā koda rīkiem. Tomēr, pamatojoties uz lielu pārklāšanās modeli un infrastruktūras dizainu, papildus tā izmantošanai mērķos, mēs droši novērtējam saistību ar Winnti lietussargu.
Tims Erlins, Tripwire produktu pārvaldības un stratēģijas viceprezidents:
“HiddenWasp nav unikāls savā tehnoloģijā, izņemot mērķauditorijas atlasi Linux. Ja jūs novērojat savas Linux sistēmas, lai konstatētu kritiskas failu izmaiņas, jaunu failu parādīšanos vai citas aizdomīgas izmaiņas, visticamāk, ļaunprātīgā programmatūra tiek identificēta kā HiddenWasp ”
Kā es varu zināt, ka mana sistēma ir apdraudēta?
Lai pārbaudītu, vai viņu sistēma ir inficēta, viņi var meklēt failus "ld.so". Ja kādā no failiem nav virknes “/etc/ld.so.preload”, jūsu sistēma var tikt apdraudēta.
Tas ir tāpēc, ka Trojas zirga implants mēģinās aizlāpīt ld.so gadījumus, lai ieviestu LD_PRELOAD mehānismu no patvaļīgām vietām.
Fuente: https://www.intezer.com/