HiddenWasp, en farlig malware, der påvirker Linux-systemer

Darkcrizt

4 minutter

hiddenwasp-linux-malware

masse Intezer Labs sikkerhedsforskere har opdaget ny malware rettet mod Linux-økosystemet. Malware kaldet 'HiddenWasp', Dette er implementeret til fjernstyring af inficerede Linux-systemer.

Selvom det ikke er ualmindeligt, nævner netværkssikkerhedsspecialister, at de sikkerhedsrisici, der findes i Linux-systemer, ikke er kendt nok.

Og det vigtigste kendetegn er, at disse typer sikkerhedstrusler ikke modtager så meget formidling som dem, der påvirker Windows-systemer.

HiddenWasp er en cybersikkerhedstrussel, der skal løses, da det efter en analyse er konkluderet, at det har en detektionsrate på 0% i de mest anvendte malware-detektionssystemer i verden.

Malware også er udviklet fra de vigtigste dele af koden, der bruges i Mirai og Azazel rootkit.

Da forskerne fandt ud af, at disse filer ikke blev detekteret af antivirus, viste det sig, at der blandt de uploadede filer var et bash-script sammen med et binært Trojan-implantat.

Antivirusløsninger til Linux har tendens til ikke at være så robuste som på andre platforme.

Derfor, hackere, der er målrettet mod Linux-systemer, er mindre bekymrede over implementering af overdreven unddragelsesteknikker, da selv når store mængder kode genbruges, kan trusler forblive relativt under radaren.

Om Hiddenwasp

Hiddenwasp har helt unikke egenskaber fordi malware stadig er aktiv og har en detektionsfrekvens på nul i alle større antivirussystemer.

I modsætning til almindelig Linux-malware, HiddenWasp er ikke fokuseret på kryptografi eller DDoS-aktivitet. Det er en rent målrettet fjernbetjenings Trojan.

Bevis viser stor sandsynlighed for, at malware bruges i målrettede angreb for ofre, der allerede er under angriberens kontrol, eller som har gennemgået høj anerkendelse.

Forfatterne af HiddenWasp har vedtaget en stor mængde kode fra forskellige tilgængelige open source-ondsindede programmer offentligt, ligesom Mirai og Azazel rootkit.

Der er også nogle ligheder mellem denne malware og andre kinesiske malware-familier, men tilskrivningen sker med lidt tillid.

I undersøgelsen fandt eksperterne, at scriptet er afhængig af brugen af ​​en bruger ved navn 'sftp' med et ret stærkt kodeord.

Derudover scriptet renser systemet for at slippe af med tidligere versioner af malware, hvis en infektion havde fundet sted tidligere.

Derefter downloades en fil til den kompromitterede maskine fra serveren, der indeholder alle komponenterne, inklusive Trojan og rootkit.

Scriptet tilføjer også en Trojan-binær til /etc/rc.local-placeringen for at få den til at fungere selv efter en genstart.

Specialister fra International Institute for Cyber ​​Security (IICS) har fundet flere ligheder mellem HiddenWasp rootkit og Azazel-malware såvel som at dele nogle strengfragmenter med ChinaZ-malware og Mirai botnet.

"Takket være HiddenWasp kan hackere køre Linux-terminalkommandoer, køre filer, downloade yderligere scripts og mere," tilføjede eksperterne.

Selvom undersøgelsen gav nogle fund, kender eksperter stadig ikke angrebsvektoren, der bruges af hackere til at inficere Linux-systemer, selvom en mulig måde er, at angribere har implementeret malware fra nogle systemer, der allerede er under deres kontrol.

"HiddenWasp kan være en anden fase af et andet angreb," konkluderede eksperterne

Hvordan kan jeg forhindre eller vide, om mit system er sårbart?

For at kontrollere, om deres system er inficeret, kan de se efter "ld.so" -filer. Hvis nogen af ​​filerne ikke indeholder strengen '/etc/ld.so.preload', kan dit system være kompromitteret.

Dette skyldes, at Trojan-implantatet vil forsøge at lappe forekomster af ld.so for at håndhæve LD_PRELOAD-mekanismen fra vilkårlige placeringer.

Mens vi skal forhindre, skal vi blokere følgende IP-adresser:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz
e9e2e84ed423bfc8e82eb434cede5c9568ab44e7af410a85e5d5eb24b1e622e3
f321685342fa373c33eb9479176a086a1c56c90a1826a0aef3450809ffc01e5d
d66bbbccd19587e67632585d0ac944e34e4d5fa2b9f3bb3f900f517c7bbf518b
0fe1248ecab199bee383cef69f2de77d33b269ad1664127b366a4e745b1199c8
2ea291aeb0905c31716fe5e39ff111724a3c461e3029830d2bfa77c1b3656fc0
d596acc70426a16760a2b2cc78ca2cc65c5a23bb79316627c0b2e16489bf86c0
609bbf4ccc2cb0fcbe0d5891eea7d97a05a0b29431c468bf3badd83fc4414578
8e3b92e49447a67ed32b3afadbc24c51975ff22acbd0cf8090b078c0a4a7b53d
f38ab11c28e944536e00ca14954df5f4d08c1222811fef49baded5009bbbc9a2
8914fd1cfade5059e626be90f18972ec963bbed75101c7fbf4a88a6da2bc671b

kilde: https://www.intezer.com/


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   Ernest de la Serna sagde han
    siden 5 år

    Skal sudo-adgangskoden være kendt ??? Denne note er en halv falopa

    Svar til Ernesto de la Serna
  2.   Claudio Guendelman sagde han
    siden 5 år

    Jeg ved ikke, om han arbejdede for et antivirusfirma, men en TXT, SH kommer ikke til liv alene. Jeg tror ikke på noget i denne artikel.

    Svar til Claudio Guendelman