HiddenWasp: isang malware na nakakaapekto sa mga system ng Linux

Darkcrizt

4 Minutos

hiddenwasp

Ilang araw na nakalipas Natuklasan ng mga mananaliksik sa seguridad ang isang bagong pagkakaiba-iba ng Linux malware Lumilitaw na nilikha ng mga hacker ng Tsino at ginamit bilang isang paraan upang malayo makontrol ang mga nahawaang system.

Tinawag na HiddenWasp, Ang malware na ito ay binubuo ng isang rootkit ng mode ng gumagamit, isang Trojan, at isang paunang script ng pag-deploy.

Hindi tulad ng iba pang nakakahamak na mga programa na tumatakbo sa Linux, ang code at ang nakolektang ebidensya ay nagpapakita na ang mga nahawaang computer ay na-kompromiso na ng parehong mga hacker na ito.

Ang pagpapatupad ng HiddenWasp samakatuwid ay magiging isang advanced na yugto sa tanikala ng pagkasira ng banta na ito.

Bagaman sinabi ng artikulo na hindi namin alam kung gaano karaming mga computer ang nahawahan o kung paano isinagawa ang mga hakbang sa itaas, dapat pansinin na ang karamihan sa mga programang uri ng "Backdoor" ay naka-install sa pamamagitan ng pag-click sa isang bagay. (link, imahe o maipapatupad na file), nang hindi namalayan ng gumagamit na ito ay isang banta.

Ang social engineering, na kung saan ay isang uri ng pag-atake na ginagamit ng mga Trojan upang linlangin ang mga biktima sa pag-install ng mga software packages tulad ng HiddenWasp sa kanilang mga computer o mobile device, ay maaaring ang pamamaraan na pinagtibay ng mga umaatake na ito upang makamit ang kanilang mga layunin.

Sa diskarte sa pagtakas at pag-iwas nito, ang kit ay gumagamit ng isang bash script na sinamahan ng isang binary file. Ayon sa mga mananaliksik ng Intezer, ang mga file na na-download mula sa Total Virus ay may isang landas na naglalaman ng pangalan ng isang forensic na lipunan na nakabase sa Tsina.

Tungkol sa HiddenWasp

Malware Ang HiddenWasp ay binubuo ng tatlong mapanganib na mga bahagi, tulad ng Rootkit, Trojan, at isang nakakahamak na script.

Ang mga sumusunod na system ay gumagana bilang bahagi ng banta.

  • Pagmanipula ng lokal na file system: Maaaring gamitin ang makina upang mag-upload ng lahat ng uri ng mga file sa mga host ng biktima o i-hijack ang anumang impormasyon ng gumagamit, kabilang ang personal at impormasyon ng system. Partikular na nauugnay ito dahil maaari itong magamit upang humantong sa mga krimen tulad ng pagnanakaw sa pananalapi at pagnanakaw ng pagkakakilanlan.
  • Pagpapatupad ng utos: ang pangunahing makina ay maaaring awtomatikong magsimula sa lahat ng mga uri ng mga utos, kasama na ang mga may mga pahintulot sa ugat, kung kasama ang naturang isang bypass sa seguridad.
  • Karagdagang paghahatid ng kargamento: ang mga nilikha na impeksyon ay maaaring magamit upang mai-install at mailunsad ang iba pang malware, kabilang ang ransomware at cryptocurrency server.
  • Mga pagpapatakbo ng Trojan: Maaaring magamit ang HiddenWasp Linux malware upang makontrol ang mga apektadong computer.

Bukod dito, ang malware ay maiho-host sa mga server ng isang pisikal na server hosting company na tinatawag na Think Dream na matatagpuan sa Hong Kong.

"Ang Linux malware na hindi pa rin alam ng ibang mga platform ay maaaring lumikha ng mga bagong hamon para sa komunidad ng seguridad," isinulat ng mananaliksik ng Intezer na si Ignacio Sanmillan sa kanyang artikulo

"Ang katotohanan na ang nakakahamak na program na ito ay namamahala upang manatili sa ilalim ng radar ay dapat na isang pulang bandila para sa industriya ng seguridad upang ilaan ang mas maraming pagsisikap o mapagkukunan upang makita ang mga banta na ito," aniya.

Ang iba pang mga dalubhasa ay nagkomento din sa bagay na ito, Tom Hegel, security researcher sa AT&T Alien Labs:

"Maraming mga hindi alam, dahil ang mga piraso ng toolkit na ito ay may ilang mga code / muling paggamit ng mga overlap na may iba't ibang mga bukas na tool ng mapagkukunan. Gayunpaman, batay sa isang malaking magkakapatong na pattern at disenyo ng imprastraktura, bilang karagdagan sa paggamit nito sa mga target, tiwala kaming sinusuri ang samahan sa Winnti Umbrella.

Tim Erlin, Bise Presidente, Pamamahala ng Produkto at Diskarte sa Tripwire:

"Ang HiddenWasp ay hindi natatangi sa teknolohiya nito, bukod sa na-target sa Linux. Kung sinusubaybayan mo ang iyong mga system ng Linux para sa mga kritikal na pagbabago ng file, o para lumitaw ang mga bagong file, o para sa iba pang mga kahina-hinalang pagbabago, malamang na makilala ang malware bilang HiddenWasp ”

Paano ko malalaman na nakompromiso ang aking system?

Upang suriin kung nahawahan ang kanilang system, maaari silang maghanap ng mga "ld.so" na mga file. Kung ang alinman sa mga file ay hindi naglalaman ng string '/etc/ld.so.preload', maaaring makompromiso ang iyong system.

Ito ay dahil susubukan ng implant ng Trojan na i-patch ang mga pagkakataong ld.so upang ipatupad ang mekanismo ng LD_PRELOAD mula sa di-makatwirang mga lokasyon.

Fuente: https://www.intezer.com/


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.