A HiddenWasp egy veszélyes rosszindulatú program, amely hatással van a Linux rendszerekre

Hiddwasp-linux-malware

sok Az Intezer Labs biztonsági kutatói új kártevőket fedeztek fel amelynek célja a Linux ökoszisztémája. Rosszindulatú „HiddenWasp”, Ez a fertőzött Linux rendszerek távvezérléséhez valósul meg.

Bár nem ritkák, a hálózatbiztonsági szakemberek megemlítik, hogy a Linux rendszerekben rejlő biztonsági kockázatok nem eléggé ismertek.

És a fő jellemző, hogy az ilyen típusú biztonsági fenyegetések nem kapnak annyi terjesztést, mint amelyek a Windows rendszereket érintik.

A HiddenWasp egy kiberbiztonsági fenyegetés, amelyet kezelni kell, mivel némi elemzés után arra a következtetésre jutottak, hogy a világ leggyakrabban használt kártevő-észlelő rendszereiben 0% -os a kimutatási arány.

Malware is a Mirai és Azazel rootkit-ben használt kód fő részeiből fejlesztették ki.

Amikor a kutatók megállapították, hogy ezeket a fájlokat az antivírusok nem észlelik, kiderült, hogy a feltöltött fájlok között van egy bash szkript és egy bináris trójai implantátum.

Emellett a Linux víruskereső megoldásai általában nem olyan robusztusak, mint más platformokon.

Ezért, a Linux rendszereket megcélzó hackerek kevésbé aggódnak a túlzott kijátszási technikák megvalósítása miatt, mivel még akkor is, ha nagy mennyiségű kódot használnak újra, a fenyegetések viszonylag a radar alatt maradhatnak.

A Hiddenwasp-ről

A Hiddenwasp meglehetősen egyedi tulajdonságokkal rendelkezik mert a rosszindulatú program továbbra is aktív, és az összes fő víruskereső rendszer észlelési aránya nulla.

A szokásos Linux kártevőketől eltérően A HiddenWasp nem a kriptográfiára vagy a DDoS tevékenységre összpontosít. Ez egy tisztán megcélzott távvezérlő trójai program.

A bizonyítékok azt mutatják, hogy nagy valószínűséggel rosszindulatú programokat használnak célzott támadásokban olyan áldozatok számára, akik már a támadó ellenőrzése alatt állnak, vagy akik nagy elismerést éltek át.

A HiddenWasp szerzői nagy mennyiségű kódot fogadtak el különféle elérhető nyílt forráskódú rosszindulatú programokból nyilvánosan, például Mirai és az Azazel rootkit.

Emellett van némi hasonlóság e malware és más kínai malware családok között, azonban a hozzárendelés kevés bizalommal történik.

A vizsgálat során a szakértők megállapították, hogy a szkript az „sftp” nevű felhasználó használatára támaszkodik, meglehetősen erős jelszóval.

Ezen túlmenően, a szkript megtisztítja a rendszert, hogy megszabaduljon a rosszindulatú programok korábbi verzióitól, ha korábban fertőzés történt.

Ezt követően a kiszolgálóról letölt egy fájlt a sérült gépre, amely tartalmazza az összes összetevőt, beleértve a trójai programot és a rootkitet is.

A szkript egy trójai bináris fájlt is hozzáad az /etc/rc.local helyhez, hogy az újraindítás után is működőképessé váljon.

A Nemzetközi Kiberbiztonsági Intézet (IICS) szakemberei számos hasonlóságot találtak a HiddenWasp rootkit és az Azazel rosszindulatú programok között, valamint megosztottak néhány húr töredéket a ChinaZ rosszindulatú programmal és a Mirai botnetnel.

"A HiddenWasp-nek köszönhetően a hackerek futtathatnak Linux terminálparancsokat, futtathatnak fájlokat, további szkripteket tölthetnek le és még sok más" - tették hozzá a szakértők.

Noha a vizsgálat néhány megállapítást eredményezett, a szakértők még mindig nem ismerik a hackerek által a Linux rendszerek megfertőzéséhez használt támadási vektort, bár az egyik lehetséges módszer az, hogy a támadók rosszindulatú programokat telepítettek néhány, már ellenőrzésük alatt álló rendszerből.

"A HiddenWasp egy újabb támadás második szakasza lehet" - összegezték a szakértők

Hogyan lehet megelőzni vagy megtudni, hogy a rendszerem sebezhető-e?

Annak ellenőrzésére, hogy a rendszerük fertőzött-e, megkereshetik az "ld.so" fájlokat. Ha bármelyik fájl nem tartalmazza az „/etc/ld.so.preload” karakterláncot, a rendszer sérülhet.

Ez azért van, mert a trójai implantátum megpróbálja az ld.so példányokat javítani, hogy az LD_PRELOAD mechanizmust tetszőleges helyekről érvényesítse.

A megelőzés érdekében blokkolnunk kell a következő IP-címeket:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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forrás: https://www.intezer.com/


2 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   Ernest de la Serna dijo

    Állítólag ismert a sudo jelszó ??? Ez a jegyzet fél falopa

  2.   Claudio Guendelman dijo

    Nem tudom, hogy víruskereső cégnél dolgozott-e, de egy TXT-nél az SH nem egyedül kel életre ... Nem hiszek ebben a cikkben.