HiddenWasp, malware berbahaya yang mempengaruhi sistem Linux

Darkcrizt

4 menit

malware-linux-hidden

Los Peneliti Keamanan Intezer Labs Telah Menemukan Malware Baru ditujukan untuk ekosistem Linux. Perangkat lunak perusak disebut 'HiddenWasp', Ini diterapkan untuk mengontrol sistem Linux yang terinfeksi dari jarak jauh.

Meskipun tidak jarang, pakar keamanan jaringan menyebutkan bahwa risiko keamanan yang ada di sistem Linux tidak cukup diketahui secara luas.

Dan karakteristik utamanya adalah jenis ancaman keamanan ini tidak menerima penyebaran sebanyak yang mempengaruhi sistem Windows.

HiddenWasp adalah ancaman keamanan siber yang perlu ditangani, karena setelah beberapa analisis, disimpulkan bahwa ia memiliki tingkat deteksi 0% dalam sistem deteksi malware yang paling banyak digunakan di dunia.

Malware juga dikembangkan dari bagian utama kode yang digunakan di rootkit Mirai dan Azazel.

Ketika peneliti menemukan bahwa file-file ini tidak terdeteksi oleh antivirus, ternyata di antara file yang diunggah terdapat skrip bash bersama dengan implan biner Trojan.

Selain itu, solusi antivirus untuk Linux cenderung tidak sekuat platform lain.

Oleh karena itu, peretas yang menargetkan sistem Linux kurang peduli tentang penerapan teknik penghindaran yang berlebihan, karena bahkan ketika sejumlah besar kode digunakan kembali, ancaman relatif tetap berada di bawah radar.

Tentang Hiddenwasp

Hiddenwasp memiliki karakteristik yang cukup unik karena malware masih aktif dan memiliki tingkat deteksi nol di semua sistem antivirus utama.

Tidak seperti malware Linux pada umumnya, HiddenWasp tidak berfokus pada kriptografi atau aktivitas DDoS. Ini adalah Trojan remote control yang ditargetkan murni.

Bukti menunjukkan kemungkinan besar bahwa malware digunakan dalam serangan yang ditargetkan untuk korban yang sudah berada di bawah kendali penyerang, atau yang telah melalui pengenalan tinggi.

Penulis HiddenWasp telah mengadopsi sejumlah besar kode dari berbagai malware open source yang tersedia publik, seperti Mirai dan rootkit Azazel.

Selain itu, ada beberapa kesamaan antara malware ini dan keluarga malware China lainnya, namun atribusi dilakukan dengan sedikit keyakinan.

Dalam penyelidikannya, para ahli menemukan bahwa script tersebut mengandalkan penggunaan seorang pengguna bernama 'sftp' dengan password yang cukup kuat.

Selain itu, skrip membersihkan sistem untuk menyingkirkan malware versi sebelumnya jika infeksi telah terjadi sebelumnya.

Selanjutnya, file diunduh ke mesin yang disusupi dari server yang berisi semua komponen, termasuk Trojan dan rootkit.

Skrip ini juga menambahkan biner Trojan ke lokasi /etc/rc.local untuk membuatnya berfungsi bahkan setelah reboot.

Pakar dari Institut Internasional untuk Keamanan Cyber ​​(IICS) telah menemukan beberapa kesamaan antara rootkit HiddenWasp dan malware Azazel, serta berbagi beberapa fragmen string dengan malware ChinaZ dan Mirai botnet.

"Berkat HiddenWasp, peretas dapat menjalankan perintah terminal Linux, menjalankan file, mengunduh skrip tambahan, dan banyak lagi," tambah para ahli.

Meskipun penyelidikan menghasilkan beberapa temuan, para ahli masih belum mengetahui vektor serangan yang digunakan oleh peretas untuk menginfeksi sistem Linux, meskipun salah satu cara yang mungkin adalah penyerang telah menyebarkan malware dari beberapa sistem yang sudah di bawah kendali mereka.

"HiddenWasp bisa menjadi tahap kedua dari serangan lain," para ahli menyimpulkan

Bagaimana cara mencegah atau mengetahui apakah sistem saya rentan?

Untuk memeriksa apakah sistem mereka terinfeksi, mereka dapat mencari file "ld.so". Jika salah satu file tidak berisi string '/etc/ld.so.preload', sistem Anda mungkin sedang dalam bahaya.

Ini karena implan Trojan akan mencoba menambal contoh ld.so untuk menerapkan mekanisme LD_PRELOAD dari lokasi yang sewenang-wenang.

Sedangkan untuk mencegahnya kita harus memblokir alamat IP berikut:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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sumber: https://www.intezer.com/


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   Ernest de la Serna dijo
    dahulu 5 tahun

    Apakah kata sandi sudo seharusnya diketahui ??? Nada ini setengah falopa

    Balas ke Ernesto de la Serna
  2.   Claudio Guendelman dijo
    dahulu 5 tahun

    Saya tidak tahu apakah dia bekerja untuk perusahaan antivirus tetapi TXT, SH tidak hidup sendiri ... Saya tidak percaya apa pun dalam artikel ini.

    Balas Claudio Guendelman