幾天前 安全研究人員發現了各種新的Linux惡意軟件 它似乎是由中國黑客創建的,並已被用作遠程控制受感染系統的手段。
叫做HiddenWasp, 該惡意軟件由用戶模式rootkit,木馬和初始部署腳本組成。
與在Linux上運行的其他惡意程序不同, 該代碼和收集到的證據表明,這些相同的黑客已經感染了受感染的計算機。
因此,HiddenWasp的執行將是銷毀此威脅鏈中的高級階段。
儘管文章說我們不知道感染了多少台計算機或執行了上述步驟的方式,但應注意,大多數“後門”類型程序都是通過單擊對象來安裝的。 (鏈接,圖像或可執行文件),而用戶沒有意識到這是一種威脅。
社會工程是特洛伊木馬用來誘騙受害者在其計算機或移動設備上安裝HiddenWasp等軟件包的一種攻擊形式,可能是這些攻擊者用來實現其目標的技術。
在逃避和威懾策略中,該工具包使用bash腳本以及二進製文件。 根據Intezer研究人員的說法,從Total Virus下載的文件具有包含中國法醫學會名稱的路徑。
關於HiddenWasp
惡意軟件 HiddenWasp由三個危險組件組成,例如Rootkit,Trojan和惡意腳本。
以下系統正在作為威脅的一部分。
- 本地文件系統操作: 該引擎可用於將各種文件上載到受害者的主機或劫持任何用戶信息,包括個人和系統信息。 這尤其令人擔憂,因為它可用於導致諸如金融盜竊和身份盜竊之類的犯罪。
- 命令執行: 如果包括這樣的安全旁路,則主機可以自動啟動所有類型的命令,包括具有root權限的命令。
- 額外的有效載荷交付: 創建的感染可用於安裝和啟動其他惡意軟件,包括勒索軟件和加密貨幣服務器。
- 木馬操作: HiddenWasp Linux惡意軟件可以用來控制受影響的計算機。
另外, 該惡意軟件將被託管在香港一家名為Think Dream的物理服務器託管公司的服務器上。
Intezer研究人員Ignacio Sanmillan在文章中寫道:“其他平台仍然未知的Linux惡意軟件可能給安全社區帶來新的挑戰。”
他說:“這個惡意程序設法躲在雷達之下的事實,對於安全行業來說,應該投入更多的精力或資源來檢測這些威脅,這是一個危險信號。”
其他專家也對此事發表了評論, AT&T Alien Labs的安全研究員Tom Hegel:
“有很多未知數,因為該工具包中的各個部分與各種開源工具有一些代碼/可重用性重疊。 但是,基於重疊和基礎結構設計的大型模式,除了將其用於目標之外,我們還可以自信地評估與Winnti Umbrella的關聯。
Tripwire產品管理和策略副總裁Tim Erlin:
“除了針對Linux,HiddenWasp的技術並不獨特。 如果您正在監視Linux系統中的關鍵文件更改,新文件的出現或其他可疑更改,則該惡意軟件可能被標識為HiddenWasp”
我怎麼知道我的系統受到威脅?
要檢查其係統是否被感染,他們可以尋找“ ld.so”文件。 如果任何文件不包含字符串“ /etc/ld.so.preload”,則係統可能已損壞。
這是因為Trojan植入程序將嘗試修補ld.so實例,以從任意位置強制執行LD_PRELOAD機制。