Лос Изследователите на Intezer Labs за сигурност са открили нов зловреден софтуер насочена към екосистемата на Linux. Зловреден софтуер наречен „HiddenWasp“, Това е приложено за дистанционно управление на заразени Linux системи.
Въпреки че не са необичайни, специалистите по мрежова сигурност споменават, че рисковете за сигурността, налични в Linux системите, не са достатъчно известни.
И основната характеристика е, че тези видове заплахи за сигурността не получават толкова голямо разпространение, колкото тези, които засягат системите на Windows.
HiddenWasp е заплаха за киберсигурността, която трябва да бъде адресирана, тъй като след известен анализ се стига до заключението, че той има степен на откриване 0% в най-използваните системи за откриване на злонамерен софтуер в света.
Зловреден софтуер също е разработен от основните части на кода, използвани в руткита на Mirai и Azazel.
Когато изследователите установиха, че тези файлове не се откриват от антивируси, изглежда, че сред качените файлове има скрипт bash заедно с двоичен троянски имплант.
Освен това антивирусните решения за Linux обикновено не са толкова стабилни, колкото на други платформи.
Следователно, хакерите, насочени към Linux системи, са по-малко загрижени от прилагането на техники за прекомерно укриване тъй като дори когато големи количества код се използват повторно, заплахите могат да останат относително под радара.
Относно Hiddenwasp
Hiddenwasp има доста уникални характеристики тъй като зловредният софтуер е все още активен и има ниво на откриване нула във всички основни антивирусни системи.
За разлика от често срещания зловреден софтуер на Linux, HiddenWasp не е фокусиран върху криптография или DDoS активност. Това е чисто насочен троянец за дистанционно управление.
Доказателствата показват голяма вероятност злонамерен софтуер да се използва при целенасочени атаки за жертви, които вече са под контрола на нападателя или са преминали през високо разпознаване.
Авторите на HiddenWasp са възприели голямо количество код от различни налични злонамерени програми с отворен код публично, като Mirai и Azazel rootkit.
Също така, има някои прилики между този зловреден софтуер и други китайски семейства зловреден софтуер, но приписването се извършва с малко доверие.
В разследването експертите установиха, че скриптът разчита на използването на потребител на име „sftp“ с доста силна парола.
Освен това, скриптът почиства системата, за да се отърве от предишни версии на зловредния софтуер, в случай че инфекция е възникнала по-рано.
Впоследствие файлът се изтегля на компрометираната машина от сървъра, който съдържа всички компоненти, включително троянския контур и руткита.
Скриптът също добавя троянски двоичен файл към /etc/rc.local местоположението, за да работи дори след рестартиране.
Специалисти от Международния институт за киберсигурност (IICS) са открили няколко прилики между руткита на HiddenWasp и зловредния софтуер Azazel, както и споделяне на някои фрагменти от низове със зловредния софтуер ChinaZ и ботнета Mirai.
"Благодарение на HiddenWasp хакерите могат да изпълняват терминални команди на Linux, да изпълняват файлове, да изтеглят допълнителни скриптове и други", добавят експертите.
Въпреки че разследването даде някои констатации, експертите все още не знаят вектора на атака, използван от хакерите за заразяване на Linux системи, въпреки че един от възможните начини е, че хакерите са внедрили зловреден софтуер от някои системи, които вече са под техен контрол.
„HiddenWasp може да бъде втори етап от поредната атака“, заключават експертите
Как да предотвратя или да разбера дали системата ми е уязвима?
За да проверят дали системата им е заразена, те могат да търсят файлове "ld.so". Ако някой от файловете не съдържа низа „/etc/ld.so.preload“, системата ви може да бъде компрометирана.
Това е така, защото троянският имплант ще се опита да закърпи копията на ld.so, за да наложи механизма LD_PRELOAD от произволни местоположения.
За да предотвратим, трябва да блокираме следните IP адреси:
103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz
e9e2e84ed423bfc8e82eb434cede5c9568ab44e7af410a85e5d5eb24b1e622e3
f321685342fa373c33eb9479176a086a1c56c90a1826a0aef3450809ffc01e5d
d66bbbccd19587e67632585d0ac944e34e4d5fa2b9f3bb3f900f517c7bbf518b
0fe1248ecab199bee383cef69f2de77d33b269ad1664127b366a4e745b1199c8
2ea291aeb0905c31716fe5e39ff111724a3c461e3029830d2bfa77c1b3656fc0
d596acc70426a16760a2b2cc78ca2cc65c5a23bb79316627c0b2e16489bf86c0
609bbf4ccc2cb0fcbe0d5891eea7d97a05a0b29431c468bf3badd83fc4414578
8e3b92e49447a67ed32b3afadbc24c51975ff22acbd0cf8090b078c0a4a7b53d
f38ab11c28e944536e00ca14954df5f4d08c1222811fef49baded5009bbbc9a2
8914fd1cfade5059e626be90f18972ec963bbed75101c7fbf4a88a6da2bc671b
Fuente: https://www.intezer.com/
Трябва ли да се знае паролата на sudo ??? Тази бележка е половин фалопа
Не знам дали е работил за антивирусна компания, но TXT, SH не оживява сам .. Не вярвам на нищо в тази статия.