HiddenWasp: perisian hasad yang mempengaruhi sistem Linux

Darkcrizt

Minit 4

Sentuhan Tersembunyi

Beberapa hari yang lalu Penyelidik keselamatan telah menemui pelbagai jenis malware Linux yang tampaknya telah dibuat oleh penggodam Cina dan telah digunakan sebagai alat untuk mengawal sistem yang dijangkiti dari jauh.

Disebut HiddenWasp, Malware ini terdiri daripada rootkit mod pengguna, Trojan, dan skrip penyebaran awal.

Tidak seperti program jahat lain yang dijalankan di Linux, kod dan bukti yang dikumpulkan menunjukkan bahawa komputer yang dijangkiti telah dikompromikan oleh penggodam yang sama.

Oleh itu, pelaksanaan HiddenWasp akan menjadi tahap maju dalam rantaian pemusnahan ancaman ini.

Walaupun artikel itu mengatakan bahawa kita tidak tahu berapa banyak komputer yang dijangkiti atau bagaimana langkah-langkah di atas dilakukan, harus diperhatikan bahawa kebanyakan program jenis "Backdoor" dipasang dengan mengklik objek. (pautan, gambar atau fail yang boleh dilaksanakan), tanpa pengguna menyedari bahawa itu adalah ancaman.

Kejuruteraan sosial, yang merupakan bentuk serangan yang digunakan oleh Trojan untuk menipu mangsa untuk memasang pakej perisian seperti HiddenWasp pada komputer atau peranti mudah alih mereka, boleh menjadi teknik yang digunakan oleh penyerang ini untuk mencapai tujuan mereka.

Dalam strategi pelarian dan pencegahannya, kit menggunakan skrip bash disertai dengan fail binari. Menurut penyelidik Intezer, fail yang dimuat turun dari Total Virus mempunyai jalan yang mengandungi nama masyarakat forensik yang berpusat di China.

Mengenai HiddenWasp

Perisian hasad HiddenWasp terdiri dari tiga komponen berbahaya, seperti Rootkit, Trojan, dan skrip jahat.

Sistem berikut berfungsi sebagai sebahagian daripada ancaman.

  • Manipulasi sistem fail tempatan: Mesin boleh digunakan untuk memuat naik semua jenis fail ke host mangsa atau merampas maklumat pengguna, termasuk maklumat peribadi dan sistem. Hal ini sangat memprihatinkan kerana dapat digunakan untuk menyebabkan jenayah seperti pencurian kewangan dan pencurian identiti.
  • Pelaksanaan perintah: enjin utama secara automatik dapat memulakan semua jenis perintah, termasuk perintah dengan izin root, jika disertakan bypass keselamatan.
  • Penghantaran muatan tambahan: jangkitan yang dibuat boleh digunakan untuk memasang dan melancarkan perisian hasad lain, termasuk pelayan ransomware dan cryptocurrency.
  • Operasi Trojan: Perisian malware HiddenWasp Linux dapat digunakan untuk mengendalikan komputer yang terjejas.

Selain itu, perisian hasad tersebut akan dihoskan di pelayan syarikat hosting pelayan fizikal bernama Think Dream yang terletak di Hong Kong.

"Malware Linux yang masih tidak diketahui oleh platform lain boleh menimbulkan cabaran baru bagi komuniti keselamatan," tulis penyelidik Intezer, Ignacio Sanmillan dalam artikelnya

"Fakta bahawa program jahat ini dapat terus berada di bawah radar harus menjadi bendera merah bagi industri keselamatan untuk mendedikasikan lebih banyak usaha atau sumber untuk mengesan ancaman ini," katanya.

Pakar lain juga memberi komen mengenai perkara itu, Tom Hegel, penyelidik keselamatan di Makmal Alien AT&T:

"Ada banyak yang tidak diketahui, kerana kepingan alat ini mempunyai beberapa kod / penggunaan semula yang bertindih dengan pelbagai alat sumber terbuka. Namun, berdasarkan corak pertindihan dan reka bentuk infrastruktur yang besar, selain penggunaannya dalam sasaran, kami dengan yakin menilai kaitan dengan Winnti Umbrella. '

Tim Erlin, Wakil Presiden, Pengurusan Produk dan Strategi di Tripwire:

“HiddenWasp tidak unik dalam teknologinya, selain disasarkan pada Linux. Sekiranya anda memantau sistem Linux anda untuk perubahan fail kritikal, atau untuk munculnya fail baru, atau untuk perubahan mencurigakan yang lain, perisian hasad tersebut kemungkinan akan dikenali sebagai HiddenWasp ”

Bagaimana saya tahu sistem saya terganggu?

Untuk memeriksa sama ada sistem mereka dijangkiti, mereka dapat mencari fail "ld.so". Sekiranya ada fail yang tidak mengandungi rentetan '/etc/ld.so.preload', sistem anda mungkin terganggu.

Ini kerana implan Trojan akan cuba memperbaiki contoh ld.so untuk menguatkuasakan mekanisme LD_PRELOAD dari lokasi sewenang-wenangnya.

Fuente: https://www.intezer.com/


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.