Bir kaç gün önce Güvenlik araştırmacıları yeni bir Linux kötü amaçlı yazılım çeşidi keşfettiler Görünüşe göre Çinli bilgisayar korsanları tarafından yaratılmış ve virüs bulaşmış sistemleri uzaktan kontrol etmek için bir araç olarak kullanılmış.
HiddenWasp olarak adlandırılan, Bu kötü amaçlı yazılım, bir kullanıcı modu rootkit, bir Truva atı ve bir ilk dağıtım komut dosyasından oluşur.
Linux üzerinde çalışan diğer kötü amaçlı programların aksine, kod ve toplanan kanıtlar, virüs bulaşmış bilgisayarların aynı bilgisayar korsanları tarafından zaten tehlikeye atıldığını gösteriyor.
HiddenWasp'ın uygulanması, bu nedenle, bu tehdidin yok edilmesi zincirinde ileri bir aşama olacaktır.
Makale, kaç bilgisayara virüs bulaştığını veya yukarıdaki adımların nasıl gerçekleştirildiğini bilmediğimizi söylese de, çoğu "Backdoor" tipi programın bir nesneye tıklanarak yüklendiğine dikkat edilmelidir. (bağlantı, görüntü veya yürütülebilir dosya), kullanıcı bunun bir tehdit olduğunun farkına varmadan.
Truva atları tarafından kurbanları bilgisayarlarına veya mobil cihazlarına HiddenWasp gibi yazılım paketleri yüklemeleri için kandırmak için kullanılan bir saldırı biçimi olan sosyal mühendislik, bu saldırganlar tarafından hedeflerine ulaşmak için benimsenen teknik olabilir.
Kaçış ve caydırıcılık stratejisinde kit, ikili dosya eşliğinde bir bash betiği kullanır. Intezer araştırmacılarına göre, Total Virus'den indirilen dosyalar, Çin merkezli bir adli tıp topluluğunun adını içeren bir yola sahip.
HiddenWasp hakkında
Kötü amaçlı yazılım HiddenWasp, Rootkit, Trojan ve kötü amaçlı bir komut dosyası gibi üç tehlikeli bileşenden oluşur.
Aşağıdaki sistemler tehdidin bir parçası olarak çalışıyor.
- Yerel dosya sistemi manipülasyonu: Motor, kurbanın ana bilgisayarlarına her türlü dosyayı yüklemek veya kişisel ve sistem bilgileri dahil olmak üzere herhangi bir kullanıcı bilgisini ele geçirmek için kullanılabilir. Bu, finansal hırsızlık ve kimlik hırsızlığı gibi suçlara yol açmak için kullanılabileceği için özellikle endişe vericidir.
- Komut yürütme: ana motor, böyle bir güvenlik atlama dahil edilmişse, kök izinleri olanlar da dahil olmak üzere her türlü komutu otomatik olarak başlatabilir.
- Ek yük teslimi: oluşturulan enfeksiyonlar, fidye yazılımı ve kripto para birimi sunucuları dahil olmak üzere diğer kötü amaçlı yazılımları yüklemek ve başlatmak için kullanılabilir.
- Truva atı işlemleri: HiddenWasp Linux kötü amaçlı yazılımı, etkilenen bilgisayarların kontrolünü ele geçirmek için kullanılabilir.
Buna ek olarak, kötü amaçlı yazılım, Hong Kong'da bulunan Think Dream adlı fiziksel bir sunucu barındırma şirketinin sunucularında barındırılacaktır.
Intezer araştırmacısı Ignacio Sanmillan, "Diğer platformlar tarafından hala bilinmeyen kötü amaçlı yazılımlar, güvenlik topluluğu için yeni zorluklar yaratabilir" diye yazdı
"Bu kötü niyetli programın radarın altında kalmayı başarması, güvenlik endüstrisinin bu tehditleri tespit etmek için daha fazla çaba veya kaynak ayırması için kırmızı bayrak olmalıdır" dedi.
Diğer uzmanlar da konuyla ilgili yorum yaptı, AT&T Alien Labs'de güvenlik araştırmacısı Tom Hegel:
“Bu araç setinin parçaları çeşitli açık kaynak araçlarla bazı kod / yeniden kullanım çakışmalarına sahip olduğu için pek çok bilinmeyen var. Bununla birlikte, geniş bir örtüşme ve altyapı tasarım modeline dayanarak, hedeflerde kullanımına ek olarak, Winnti Şemsiye ile olan ilişkiyi güvenle değerlendiriyoruz. '
Tripwire Ürün Yönetimi ve Strateji Başkan Yardımcısı Tim Erlin:
“HiddenWasp, Linux'u hedeflemekten başka teknolojisinde benzersiz değildir. Linux sistemlerinizi kritik dosya değişiklikleri veya yeni dosyaların görünmesi veya diğer şüpheli değişiklikler için izliyorsanız, kötü amaçlı yazılım büyük olasılıkla HiddenWasp olarak tanımlanır ”
Sistemimin tehlikede olduğunu nasıl bilebilirim?
Sistemlerine virüs bulaşıp bulaşmadığını kontrol etmek için "ld.so" dosyalarını arayabilirler. Dosyalardan herhangi biri '/etc/ld.so.preload' dizesini içermiyorsa, sisteminizin güvenliği ihlal edilebilir.
Bunun nedeni, Truva atının, rastgele konumlardan LD_PRELOAD mekanizmasını zorlamak için ld.so örneklerini yamalamaya çalışmasıdır.
kaynak: https://www.intezer.com/