HiddenWasp ، یک بدافزار خطرناک است که بر سیستم های لینوکس تأثیر می گذارد

دارک رایزتبه روز شد

2 نظرات

مخفی مخفی-واسپ

ل محققان امنیتی آزمایشگاه های Intezer بدافزار جدیدی را کشف کرده اند با هدف اکوسیستم لینوکس. بد افزار به نام "HiddenWasp" ، این کار برای کنترل از راه دور سیستم های آلوده لینوکس اجرا می شود.

اگرچه غیر معمول نیست ، اما متخصصان امنیت شبکه اشاره می کنند که خطرات امنیتی موجود در سیستم های لینوکس به اندازه کافی شناخته شده نیستند.

و مشخصه اصلی این است که این نوع تهدیدهای امنیتی به اندازه آنچه در سیستم های ویندوز تأثیر می گذارد ، انتشار نمی یابند.

HiddenWasp تهدیدی برای امنیت سایبری است که باید رفع شود، از آنجا که پس از برخی تجزیه و تحلیل ها ، نتیجه گیری شد که میزان آن در پرکاربردترین سیستم های شناسایی بدافزار در جهان 0٪ است.

بدافزار نیز از قسمتهای اصلی کد استفاده شده در rootkit Mirai و Azazel ساخته شده است.

وقتی محققان دریافتند که این پرونده ها توسط آنتی ویروس ها شناسایی نمی شوند ، به نظر می رسد که در میان پرونده های بارگذاری شده ، یک اسکریپت bash همراه با کاشت باینری Trojan وجود دارد.

همچنین ، راه حل های آنتی ویروس برای لینوکس مانند سایر سیستم عامل ها قوی نیستند.

بنابراین، هکرهایی که سیستم های لینوکس را هدف قرار می دهند کمتر نگران اجرای فنون فرار بیش از حد هستند ، زیرا حتی در صورت استفاده مجدد از مقدار زیادی کد ، تهدیدها می توانند نسبتاً در زیر رادار باقی بمانند.

درباره Hiddenwasp

Hiddenwasp خصوصیات کاملاً منحصر به فردی دارد زیرا بدافزار هنوز فعال است و در تمام سیستم های اصلی آنتی ویروس میزان تشخیص آن صفر است.

برخلاف بدافزار رایج لینوکس ، HiddenWasp بر روی رمزنگاری یا فعالیت DDoS متمرکز نیست. این یک Trojan کنترل از راه دور کاملا هدفمند است.

شواهد نشان می دهد که بدافزار در حملات هدفمند قربانیانی که قبلاً تحت کنترل مهاجم بوده اند یا مورد شناسایی بالایی قرار گرفته اند ، مورد استفاده قرار می گیرد.

نویسندگان HiddenWasp مقدار زیادی کد را از انواع بدافزارهای متن باز موجود در نظر گرفته اند به صورت عمومی ، مانند Mirai و rootkit Azazel.

همچنین ، شباهت هایی بین این بدافزار و دیگر خانواده های بدافزار چینی وجود دارد ، با این حال ، انتساب با اطمینان کمی انجام می شود.

در تحقیقات ، کارشناسان دریافتند که اسکریپت متکی به استفاده از کاربری به نام 'sftp' با رمز عبور نسبتاً قوی است.

علاوه بر این، اسکریپت سیستم را پاک می کند تا از نسخه های قبلی بدافزار خلاص شود در صورتی که عفونت زودتر رخ داده باشد.

متعاقباً ، پرونده ای از سرور در ماشین در معرض خطر بارگیری می شود که شامل تمام اجزا از جمله Trojan و rootkit است.

اسکریپت همچنین باینری Trojan را به مکان /etc/rc.local اضافه می کند تا حتی پس از راه اندازی مجدد نیز کار کند.

متخصصان موسسه بین المللی امنیت سایبری (IICS) شباهت های زیادی بین روت کیت HiddenWasp و بدافزار Azazel و همچنین به اشتراک گذاری برخی از رشته ها با بدافزار ChinaZ و بات نت Mirai پیدا کرده اند.

کارشناسان اضافه کردند: "به لطف HiddenWasp ، هکرها می توانند دستورات ترمینال لینوکس را اجرا کنند ، پرونده ها را اجرا کنند ، اسکریپت های اضافی را بارگیری کنند."

اگرچه این تحقیقات به برخی از یافته ها منجر شد ، اما هنوز متخصصان از بردار حمله ای که توسط هکرها برای آلوده سازی سیستم های لینوکس استفاده می شود ، اطلاعی ندارند ، اگرچه یکی از راه های ممکن این است که مهاجمان از برخی از سیستم هایی که قبلاً تحت کنترل آنها هستند ، بدافزارهایی را مستقر کرده اند.

کارشناسان نتیجه گیری کردند: "HiddenWasp می تواند مرحله دوم حمله دیگری باشد."

چگونه از آسیب پذیری سیستم من جلوگیری کنیم یا بدانیم؟

برای بررسی آلوده بودن سیستم آنها ، می توانند به دنبال پرونده های "ld.so" باشند. اگر هر یک از پرونده ها شامل رشته "/etc/ld.so.preload" نباشد ، سیستم شما ممکن است به خطر بیفتد.

این به این دلیل است که ایمپلنت Trojan سعی می کند تا نمونه هایی از ld.so را وصله کند تا مکانیسم LD_PRELOAD را از مکان های دلخواه اجرا کند.

در حالی که برای جلوگیری از این کار باید آدرس های IP زیر را مسدود کنید:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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Fuente: https://www.intezer.com/


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

2 نظر ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   ارنستو دو لا سرنا dijo
    پیش سال 4

    آیا قرار است رمز سودو مشخص باشد ؟؟؟ این نت نصف فالوپا است

    پاسخ به ارنستو د لا سرنا
  2.   کلودیو گوندلمان dijo
    پیش سال 4

    من نمی دانم او در یک شرکت ضد ویروس کار کرده است ، اما TXT ، SH به تنهایی زنده نمی شود ... من به این مقاله اعتقادی ندارم.

    پاسخ به کلودیو گوندلمان