HiddenWasp ، برنامج ضار خطير يؤثر على أنظمة Linux

Darkcrizt

4 دقيقة

برنامج Hiddenwasp-linux-malware

الكثير اكتشف الباحثون الأمنيون في Intezer Labs برامج ضارة جديدة تهدف إلى نظام Linux البيئي. البرمجيات الخبيثة تسمى "HiddenWasp" ، يتم تنفيذ ذلك للتحكم عن بعد في أنظمة Linux المصابة.

على الرغم من أنه ليس من غير المألوف ، إلا أن المتخصصين في أمن الشبكات يذكرون أن المخاطر الأمنية الموجودة في أنظمة Linux ليست معروفة على نطاق واسع.

والسمة الرئيسية هي أن هذه الأنواع من التهديدات الأمنية لا تتلقى قدرًا كبيرًا من النشر مثل تلك التي تؤثر على أنظمة Windows.

HiddenWasp هو تهديد للأمن السيبراني يحتاج إلى معالجة، لأنه بعد إجراء بعض التحليلات ، تم التوصل إلى أن معدل اكتشافه يبلغ 0٪ في أكثر أنظمة الكشف عن البرامج الضارة استخدامًا في العالم.

البرمجيات الخبيثة أيضا تم تطويره من الأجزاء الرئيسية من الكود المستخدم في جذر Mirai و Azazel.

عندما وجد الباحثون أن هذه الملفات لم يتم اكتشافها بواسطة برنامج مكافحة الفيروسات ، ظهر أنه من بين الملفات التي تم تحميلها كان هناك نص برمجي باش مع غرسة طروادة ثنائية.

أيضًا ، لا تميل حلول مكافحة الفيروسات لنظام Linux إلى أن تكون قوية مثل الأنظمة الأساسية الأخرى.

لذلك، المتسللون الذين يستهدفون أنظمة Linux أقل اهتمامًا بتطبيق تقنيات المراوغة المفرطة ، لأنه حتى عند إعادة استخدام كميات كبيرة من التعليمات البرمجية ، يمكن أن تظل التهديدات نسبيًا تحت الرادار.

حول Hiddenwasp

Hiddenwasp لها خصائص فريدة من نوعها لأن البرامج الضارة لا تزال نشطة ولها معدل اكتشاف يصل إلى الصفر في جميع أنظمة مكافحة الفيروسات الرئيسية.

على عكس برامج Linux الضارة الشائعة ، لا يركز HiddenWasp على التشفير أو نشاط DDoS. إنه جهاز تحكم عن بعد مستهدف بحتة حصان طروادة.

تشير الأدلة إلى وجود احتمال كبير بأن يتم استخدام البرامج الضارة في الهجمات المستهدفة للضحايا الذين يخضعون بالفعل لسيطرة المهاجم ، أو الذين تم التعرف عليهم بشكل كبير.

اعتمد مؤلفو HiddenWasp كمية كبيرة من التعليمات البرمجية من مختلف البرامج الضارة مفتوحة المصدر المتاحة علنًا ، مثل Mirai و Azazel rootkit.

أيضًا ، هناك بعض أوجه التشابه بين هذه البرامج الضارة وعائلات البرامج الضارة الصينية الأخرى ، ومع ذلك ، يتم الإسناد بثقة قليلة.

في التحقيق ، وجد الخبراء أن البرنامج النصي يعتمد على استخدام مستخدم باسم "sftp" بكلمة مرور قوية إلى حد ما.

وبالإضافة إلى ذلك، يقوم البرنامج النصي بتنظيف النظام للتخلص من الإصدارات السابقة من البرامج الضارة في حالة حدوث إصابة في وقت سابق.

بعد ذلك ، يتم تنزيل ملف إلى الجهاز المخترق من الخادم الذي يحتوي على جميع المكونات ، بما في ذلك Trojan و rootkit.

يضيف البرنامج النصي أيضًا ملفًا ثنائيًا من أحصنة طروادة إلى الموقع /etc/rc.local لجعله يعمل حتى بعد إعادة التشغيل.

اكتشف المتخصصون من المعهد الدولي للأمن السيبراني (IICS) العديد من أوجه التشابه بين الجذر الخفي HiddenWasp والبرمجيات الخبيثة Azazel ، بالإضافة إلى مشاركة بعض أجزاء السلسلة مع البرامج الضارة ChinaZ و Mirai botnet.

وأضاف الخبراء: "بفضل HiddenWasp ، يمكن للمتسللين تشغيل أوامر Linux الطرفية وتشغيل الملفات وتنزيل نصوص إضافية والمزيد".

على الرغم من أن التحقيق أسفر عن بعض النتائج ، لا يزال الخبراء لا يعرفون ناقلات الهجوم التي يستخدمها المتسللون لإصابة أنظمة Linux ، على الرغم من أن إحدى الطرق المحتملة هي أن المهاجمين نشروا برامج ضارة من بعض الأنظمة التي تخضع بالفعل لسيطرتهم.

وخلص الخبراء إلى أن "برنامج HiddenWasp قد يكون مرحلة ثانية لهجوم آخر"

كيف يمكنني منع أو معرفة ما إذا كان نظامي عرضة للخطر؟

للتحقق مما إذا كان نظامهم مصابًا ، يمكنهم البحث عن ملفات "ld.so". إذا كان أي من الملفات لا يحتوي على السلسلة "/etc/ld.so.preload" ، فقد يكون نظامك معرضًا للخطر.

هذا لأن غرسة طروادة ستحاول تصحيح مثيلات ld.so لفرض آلية LD_PRELOAD من المواقع العشوائية.

أثناء منعنا ، يجب علينا حظر عناوين IP التالية:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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مصدر: https://www.intezer.com/


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   إرنستو دي لا سيرنا قال
    منذ سنوات 5

    هل من المفترض أن تكون كلمة سر sudo معروفة ؟؟؟ هذه المذكرة هي نصف فالوبا

    الرد على Ernesto de la Serna
  2.   كلاوديو جويندلمان قال
    منذ سنوات 5

    لا أعرف ما إذا كان يعمل في شركة مكافحة فيروسات ولكن TXT ، SH لا تظهر بمفردها ... لا أصدق أي شيء في هذا المقال.

    الرد على Claudio Guendelman