ACBackdoor, новое вредоносное ПО, влияющее на Linux и Windows

ACBackdoor

Несколько минут назад мы опубликовали статья, в которой мы сказали, что не бывает идеального программного обеспечения. И такие браузеры, как Chrome, Edge или Safari, «легко» взломать. В статье мы говорили, что программное обеспечение несовершенно, и это так в программах / приложениях, а также в операционных системах, но были разговоры об уязвимостях, обнаруженных в программах. Теперь мы должны сделать то же самое, но в операционных системах: было обнаружено новое вредоносное ПО, которое поражает Linux и Windows, и его имя ACBackdoor.

в качестве сообщил Bleeping Computer, исследователи безопасности обнаружили новый кроссплатформенный бэкдор, который влияет на операционные системы Windows и Linux. Это вредоносное ПО может использоваться для выполнения вредоносного кода и двоичных файлов на зараженных компьютерах. Судя по всему, он разработан группой, имеющей опыт разработки вредоносных инструментов для Linux, по словам Игнасио Санмиллана из Intenzer.

ACBackdoor более опасен в Linux, чем в Windows

Есть два варианта, и оба используют один и тот же командный сервер (C2). Пути заражения у них разные: версия для Windows продвигается с помощью вредоносной рекламы с помощью Fallout Exploit Kit, в то время как Полезная нагрузка Linux пропускается через еще неизвестную систему доставки.

Последняя версия вредоносного ПО нацелена на уязвимости. CVE-2018-15982, связан с Flash PlayerИ CVE-2018-8174, связанный с движком VBScript Internet Explorer. В обоих случаях цель состоит в том, чтобы заразить посетителей веб-страниц, контролируемых злоумышленником. Можно сказать, что, хотя мы настаиваем на том, что идеального программного обеспечения не существует, в случае с Flash Player идет дождь, а не вода.

Самое странное, или, скажем так, менее распространенное, - это то, что версия для Windows не представляет сложной угрозы. Версия ACBackdoor Windows - это «порт» Linux:

Имплант Linux был написан значительно лучше, чем имплант Windows, подчеркивая реализацию механизма сохраняемости вместе с различными командами бэкдора и дополнительными функциями, которых нет в версии для Windows, такими как создание отдельных процессов и переименование процессов..

Как работает этот бэкдор

После заражения компьютера вредоносная программа начнет собирать системную информацию, включая его архитектуру и MAC-адрес. Для этого используются инструменты, специфичные для платформы, с функциями Windows API в Windows и программа uname UNIX, обычно используемая для печати системной информации в Linux. Как только это будет выполнено с задачами сбора информации, ACBackdoor добавит запись в реестр Windows и создаст несколько символических ссылок, а в Linux он создаст скрипт. Initrd для достижения постоянства и автоматического запуска при каждой перезагрузке.

В Windows бэкдор также будет пытаться замаскироваться под процесс MsMpEng.exe, антивирусную и шпионскую утилиту Microsoft Windows Defender. В Linux это будет замаскировано путем эмуляции новой утилиты уведомления об обновлениях Ubuntu (UpdateNotifier) ​​и переименует ваш процесс как [kworker / u8: 7-ev], относящийся к ядру Linux.

ACBackdoor отправляет информацию по HTTPS

Для связи с сервером C2 оба варианта вредоносной программы использовать HTTPS как канал связи, отправляя всю собранную информацию в виде полезной нагрузки в кодировке BASE64. С другой стороны, ACBackdoor может получать информацию, выполнять и обновлять команды с указанного сервера C2, что позволяет его владельцам выполнять команды оболочки, двоичные файлы и обновлять вредоносное ПО, уже присутствующее в зараженной системе.

Здравый смысл - лучший способ избежать этой и других проблем с вредоносным ПО. Во-первых, не посещайте веб-страницы сомнительного происхождения, в чем помогает современный браузер, который предупреждает нас, если веб-сайт является / может быть опасным. С другой стороны, и это относится к любой операционной системе, всегда стоит иметь хорошо обновленное программное обеспечение что мы используем. Не существует идеального программного обеспечения, включающего операционные системы, и ACBackdoor является последним доказательством этого.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

5 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   анонимный сказал

    На основе flashplayer .... обратитесь к психиатру.
    Кто такой опа, куб, который до сих пор использует flashplayer, которого не было годами.
    Я действительно верю, что этой прессе платят за то, чтобы опорочить gnu / linux, у меня нет других вариантов, о которых можно было бы думать, плохо, плохо, ОЧЕНЬ ПЛОХО.

    1.    HACKERCRAC3850K сказал

      Если у вас есть ноутбук или ПК, и вы используете свой браузер, каким бы он ни был, я уверен, что вы будете использовать Adobe Flash player, потому что без этого вы не получите половину рекламы, а страницы тоже не будут работать. Если ты не знаешь об этом, ничего не говори

  2.   Дэниел сказал

    Уффффф, остерегайтесь сомнительных мест, в наши дни практически никто не застрахован полностью. Очень хорошая статья compadre, привет.

  3.   Лев сказал

    Созданы ли средства очистки для Linux от этих инфекций?

    1.    перец сказал

      Инструменты для чистки?
      Он будет устанавливать антивредоносное ПО, ни много, ни мало. Вот почему я не использую linux, все, что пробирается туда, остается, просто вижу некоторые серверы с троянами внутри в течение многих лет.

bool (истина)