काही दिवसांपूर्वी सुरक्षा संशोधकांना लिनक्स मालवेयरची एक नवीन प्रकार सापडली आहे हे चिनी हॅकर्सनी तयार केले असल्याचे दिसते आहे आणि संक्रमित प्रणालीवर दूरस्थपणे नियंत्रण ठेवण्यासाठी हे एक साधन म्हणून वापरले गेले आहे.
लपविलेलेवॅस्प, या मालवेयरमध्ये वापरकर्ता-मोड रूटकिट, एक ट्रोजन आणि प्रारंभिक उपयोजन स्क्रिप्ट असते.
लिनक्सवर चालणार्या इतर दुर्भावनापूर्ण प्रोग्रामांसारखे नाही, कोड आणि संकलित पुरावे दर्शविते की संक्रमित संगणक आधीपासूनच याच हॅकर्सनी तडजोड केली आहेत.
म्हणूनच या धोक्याचा नाश करण्याच्या दृष्टीने हिडनवॅसपची अंमलबजावणी हा एक प्रगत टप्पा असेल.
जरी लेखात म्हटले आहे की आम्हाला किती संगणक संक्रमित झाले किंवा वरील चरण कसे कार्य केले हे माहित नाही, परंतु हे लक्षात घेतले पाहिजे की बहुतेक "बॅकडोर" प्रकारचे प्रोग्राम ऑब्जेक्टवर क्लिक करून स्थापित केले जातात. (दुवा, प्रतिमा किंवा कार्यवाहीयोग्य फाइल), वापरकर्त्यास धोक्यात असल्याचे समजल्याशिवाय.
सोशल इंजिनिअरिंग, जे ट्रोजन्सनी पीडितांना त्यांच्या संगणकावर किंवा मोबाईल उपकरणांवर हिपडवॅस्प सारख्या सॉफ्टवेअर पॅकेजेस बसविण्याकरिता वापरण्यासाठी फसविण्याचा प्रयत्न केला, त्यांचे लक्ष्य साध्य करण्यासाठी या आक्रमणकर्त्यांनी अवलंबिले जाणारे तंत्र असू शकते.
त्याच्या सुटकेपासून बचाव करण्याच्या धोरणामध्ये, किट बायनरी फाईलसह बॅश स्क्रिप्ट वापरते. इंटेंझर संशोधकांच्या म्हणण्यानुसार, टोटल व्हायरस वरून डाउनलोड केलेल्या फाइल्सचा मार्ग चीनमध्ये असलेल्या फोरेंसिक सोसायटीचे आहे.
लपलेल्यावॅस्प बद्दल
मालवेयर लपलेलेवॅप रूटकिट, ट्रोजन आणि दुर्भावनायुक्त स्क्रिप्ट सारख्या तीन धोकादायक घटकांद्वारे बनलेले आहे.
पुढील सिस्टम धोक्याच्या भागाच्या रूपात कार्यरत आहेत.
- स्थानिक फाइल सिस्टम हाताळणी: इंजिनचा उपयोग पीडिताच्या होस्टवर सर्व प्रकारच्या फायली अपलोड करण्यासाठी किंवा वैयक्तिक आणि सिस्टम माहितीसह कोणतीही वापरकर्ता माहिती अपहृत करण्यासाठी केला जाऊ शकतो. हे विशेषतः यासंबंधी आहे कारण याचा उपयोग आर्थिक चोरी आणि ओळख चोरीसारख्या गुन्ह्यांकरिता होऊ शकतो.
- आदेश अंमलबजावणी: मुख्य सुरक्षा इंजिन अशा प्रकारच्या सुरक्षा बायपासचा समावेश केल्यास, रूट परवानग्यासह, सर्व प्रकारच्या आज्ञा आपोआप सुरू करू शकते.
- अतिरिक्त पेलोड वितरण: तयार केलेले संक्रमण रॅन्समवेअर आणि क्रिप्टोकर्न्सी सर्व्हरसह इतर मालवेयर स्थापित आणि लाँच करण्यासाठी वापरले जाऊ शकते.
- ट्रोजन ऑपरेशन्स: हॅडवॅसप लिनक्स मालवेयरचा वापर प्रभावित संगणकावर नियंत्रण ठेवण्यासाठी केला जाऊ शकतो.
तसेच, मालवेयर हाँगकाँगमध्ये असलेल्या थिंक ड्रीम नावाच्या फिजिकल सर्व्हर होस्टिंग कंपनीच्या सर्व्हरवर ठेवला जाईल.
"इतर प्लॅटफॉर्मवर अद्याप अज्ञात असलेल्या लिनक्स मालवेयरमुळे सुरक्षा समुदायासाठी नवीन आव्हाने निर्माण होऊ शकतात," इंटिझर संशोधक इग्नासिओ सॅनिमलने आपल्या लेखात लिहिले
ते म्हणाले, "हा दुर्भावनापूर्ण कार्यक्रम रडारच्या खाली राहण्याचे काम करतो, ही धमकी शोधण्यासाठी अधिक उद्योग किंवा संसाधने समर्पित करण्यासाठी सुरक्षा उद्योगास लाल झेंडा असावा," ते म्हणाले.
इतर तज्ञांनी देखील यावर टिप्पणी दिली, टॉम हेगल, एटी अँड टी एलियन लॅबमधील सुरक्षा संशोधक:
“बर्याच अज्ञात आहेत, कारण या टूलकिटच्या तुकड्यांमध्ये काही मुक्त स्त्रोत साधनांसह काही कोड / रीयूज आच्छादित असतात. तथापि, आच्छादित आणि पायाभूत सुविधांच्या डिझाइनच्या मोठ्या नमुन्यावर आधारित, लक्ष्यांमधील वापराव्यतिरिक्त, आम्ही विन्टी छत्रीसह असोसिएशनचे आत्मविश्वासपूर्वक मूल्यांकन करतो.
टिम एर्लिन, उपाध्यक्ष, उत्पादन व्यवस्थापन आणि ट्रिपवायर मधील धोरणः
लिनक्सला लक्ष्य करण्याव्यतिरिक्त “टेक्नॉलॉजीमध्ये हिडवॅसप अद्वितीय नाही. गंभीर फाइलमधील बदलांसाठी किंवा नवीन फाइल्स दिसण्यासाठी किंवा इतर संशयास्पद बदलांसाठी आपण आपल्या लिनक्स सिस्टमचे परीक्षण करत असल्यास मालवेअर कदाचित हिडवॉसप म्हणून ओळखला जाईल.
माझ्या सिस्टमशी तडजोड झाली हे मला कसे कळेल?
त्यांची प्रणाली संक्रमित आहे की नाही हे तपासण्यासाठी ते "ld.so" फायली शोधू शकतात. कोणत्याही फाइल्समध्ये '/etc/ld.so.preload' ही स्ट्रिंग नसल्यास आपल्या सिस्टममध्ये तडजोड केली जाऊ शकते.
कारण ट्रोजन इम्प्लांट अनियंत्रित स्थानावरून एलडी_PRELOAD यंत्रणा लागू करण्यासाठी ld.so चे उदाहरण पॅच करण्याचा प्रयत्न करेल.
स्त्रोत: https://www.intezer.com/