HiddenWasp, opasan zlonamjerni softver koji utječe na Linux sustave

Darkcrizt

4 minuta

hiddenwasp-linux-malware

The Istraživači tvrtke Intezer Labs otkrili su novi zlonamjerni softver usmjeren na Linux ekosustav. Zlonamjerni softver pod nazivom "HiddenWasp", Ovo je implementirano za daljinsko upravljanje zaraženim Linux sustavima.

Iako nisu rijetki, stručnjaci za mrežnu sigurnost spominju kako sigurnosni rizici prisutni u Linux sustavima nisu dovoljno poznati.

A glavna karakteristika je da ove vrste sigurnosnih prijetnji nemaju toliko širenja kao one koje utječu na Windows sustave.

HiddenWasp je prijetnja kibernetičkoj sigurnosti koja se treba riješiti, budući da se nakon neke analize zaključuje da ima stopu otkrivanja od 0% u najčešće korištenim sustavima za otkrivanje zlonamjernog softvera na svijetu.

Zlonamjerni softver također razvijen je iz glavnih dijelova koda koji se koriste u rootkit-u Mirai i Azazel.

Kad su istraživači otkrili da antivirus ne otkriva ove datoteke, pokazalo se da među prenesenim datotekama postoji bash skripta zajedno s binarnim trojanskim implantatom.

Također, antivirusna rješenja za Linux obično nisu tako robusna kao na drugim platformama.

Stoga, hakeri koji ciljaju Linux sustave manje su zabrinuti zbog primjene tehnika prekomjerne utaje, budući da čak i kad se velike količine koda ponovno koriste, prijetnje mogu relativno ostati ispod radara.

O Hiddenwaspu

Hiddenwasp ima prilično jedinstvene karakteristike jer je zlonamjerni softver još uvijek aktivan i ima stopu otkrivanja nula u svim glavnim antivirusnim sustavima.

Za razliku od uobičajenog zlonamjernog softvera za Linux, HiddenWasp nije usredotočen na kriptografiju ili DDoS aktivnost. To je čisto ciljani trojanski daljinski upravljač.

Dokazi pokazuju veliku vjerojatnost da se zlonamjerni softver koristi u ciljanim napadima za žrtve koje su već pod kontrolom napadača ili su podvrgnute velikom prepoznavanju.

Autori HiddenWaspa usvojili su veliku količinu koda iz različitih dostupnih zlonamjernih programa javno, poput Mirai i rootkita Azazel.

Također, postoje neke sličnosti između ovog zlonamjernog softvera i drugih kineskih obitelji zlonamjernog softvera, međutim pripisivanje se vrši s malo povjerenja.

U istrazi su stručnjaci otkrili da se skripta oslanja na upotrebu korisnika pod imenom 'sftp' s prilično jakom lozinkom.

Osim toga, skripta čisti sustav kako bi se riješio prethodnih verzija zlonamjernog softvera u slučaju da se infekcija dogodila ranije.

Nakon toga se datoteka s računala preuzima na kompromitirani stroj koji sadrži sve komponente, uključujući trojanski virus i rootkit.

Skripta također dodaje trojanski binarni program na /etc/rc.local mjesto da bi radio čak i nakon ponovnog pokretanja.

Stručnjaci Međunarodnog instituta za kibernetičku sigurnost (IICS) pronašli su nekoliko sličnosti između rootkita HiddenWasp i zlonamjernog softvera Azazel, kao i dijeljenje nekih fragmenata niza s malwareom ChinaZ i botnetom Mirai.

"Zahvaljujući HiddenWasp-u, hakeri mogu pokretati naredbe Linux terminala, pokretati datoteke, preuzimati dodatne skripte i još mnogo toga", dodali su stručnjaci.

Iako je istraga donijela neka otkrića, stručnjaci još uvijek ne znaju vektor napada koji hakeri koriste za zarazu Linux sustava, iako je jedan od mogućih načina da su napadači primijenili zlonamjerni softver iz nekih sustava koji su već pod njihovom kontrolom.

"HiddenWasp bi mogao biti druga faza još jednog napada", zaključili su stručnjaci

Kako spriječiti ili znati je li moj sustav ranjiv?

Da bi provjerili je li njihov sustav zaražen, mogu potražiti datoteke "ld.so". Ako bilo koja datoteka ne sadrži niz '/etc/ld.so.preload', vaš sustav može biti ugrožen.

To je zato što će trojanski implantat pokušati zakrpati instance ld.so kako bi nametnuo mehanizam LD_PRELOAD s proizvoljnih mjesta.

Da bismo spriječili, moramo blokirati sljedeće IP adrese:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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izvor: https://www.intezer.com/


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Ernest de la Serna dijo
    zec 5 godina

    Treba li znati sudo lozinku ??? Ova je bilješka pola falope

    Odgovor Ernestu de la Serni
  2.   Claudio Guendelman dijo
    zec 5 godina

    Ne znam je li radio za antivirusnu tvrtku, ali TXT, SH ne zaživljava sam ... Ništa ne vjerujem u ovaj članak.

    Odgovor Claudiou Guendelmanu