ಹಿಡನ್ವಾಸ್ಪ್, ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಅಪಾಯಕಾರಿ ಮಾಲ್ವೇರ್

Darkcrizt

4 ನಿಮಿಷಗಳು

Hiddenwasp-linux-malware

ದಿ ಇಂಟೆಜರ್ ಲ್ಯಾಬ್ಸ್ ಭದ್ರತಾ ಸಂಶೋಧಕರು ಹೊಸ ಮಾಲ್ವೇರ್ ಅನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ ಲಿನಕ್ಸ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ. ಮಾಲ್ವೇರ್ 'ಹಿಡನ್ವಾಸ್ಪ್' ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ, ಸೋಂಕಿತ ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳನ್ನು ದೂರದಿಂದಲೇ ನಿಯಂತ್ರಿಸಲು ಇದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗಿದೆ.

ಸಾಮಾನ್ಯವಲ್ಲದಿದ್ದರೂ, ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಕಂಡುಬರುವ ಸುರಕ್ಷತೆಯ ಅಪಾಯಗಳು ಸಾಕಷ್ಟು ವ್ಯಾಪಕವಾಗಿ ತಿಳಿದಿಲ್ಲ ಎಂದು ನೆಟ್‌ವರ್ಕ್ ಭದ್ರತಾ ತಜ್ಞರು ಉಲ್ಲೇಖಿಸಿದ್ದಾರೆ.

ಮತ್ತು ಮುಖ್ಯ ಲಕ್ಷಣವೆಂದರೆ ಈ ರೀತಿಯ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳು ವಿಂಡೋಸ್ ಸಿಸ್ಟಮ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವಷ್ಟು ಪ್ರಸಾರವನ್ನು ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ.

ಹಿಡನ್ವಾಸ್ಪ್ ಸೈಬರ್ ಸುರಕ್ಷತೆಯ ಬೆದರಿಕೆಯಾಗಿದ್ದು ಅದನ್ನು ಪರಿಹರಿಸಬೇಕಾಗಿದೆ, ಕೆಲವು ವಿಶ್ಲೇಷಣೆಯ ನಂತರ, ಇದು ವಿಶ್ವದಲ್ಲೇ ಹೆಚ್ಚು ಬಳಸಿದ ಮಾಲ್‌ವೇರ್ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ 0% ರಷ್ಟು ಪತ್ತೆ ಪ್ರಮಾಣವನ್ನು ಹೊಂದಿದೆ ಎಂದು ತೀರ್ಮಾನಿಸಲಾಗಿದೆ.

ಮಾಲ್ವೇರ್ ಕೂಡ ಮಿರೈ ಮತ್ತು ಅ Az ಾ el ೆಲ್ ರೂಟ್‌ಕಿಟ್‌ನಲ್ಲಿ ಬಳಸುವ ಕೋಡ್‌ನ ಮುಖ್ಯ ಭಾಗಗಳಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ.

ಈ ಫೈಲ್‌ಗಳನ್ನು ಆಂಟಿವೈರಸ್ ಪತ್ತೆ ಮಾಡಿಲ್ಲ ಎಂದು ಸಂಶೋಧಕರು ಕಂಡುಕೊಂಡಾಗ, ಅಪ್‌ಲೋಡ್ ಮಾಡಿದ ಫೈಲ್‌ಗಳಲ್ಲಿ ಬೈನರಿ ಟ್ರೋಜನ್ ಇಂಪ್ಲಾಂಟ್ ಜೊತೆಗೆ ಬ್ಯಾಷ್ ಸ್ಕ್ರಿಪ್ಟ್ ಇರುವುದು ಕಂಡುಬಂತು.

ಅಲ್ಲದೆ, ಲಿನಕ್ಸ್‌ಗಾಗಿ ಆಂಟಿವೈರಸ್ ಪರಿಹಾರಗಳು ಇತರ ಪ್ಲ್ಯಾಟ್‌ಫಾರ್ಮ್‌ಗಳಂತೆ ದೃ ust ವಾಗಿರುವುದಿಲ್ಲ.

ಆದ್ದರಿಂದ, ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಗುರಿಯಾಗಿಸುವ ಹ್ಯಾಕರ್‌ಗಳು ಅತಿಯಾದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ತಂತ್ರಗಳನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವ ಬಗ್ಗೆ ಕಡಿಮೆ ಕಾಳಜಿ ವಹಿಸುತ್ತಾರೆ, ದೊಡ್ಡ ಪ್ರಮಾಣದ ಕೋಡ್ ಅನ್ನು ಮರುಬಳಕೆ ಮಾಡಿದಾಗಲೂ, ಬೆದರಿಕೆಗಳು ತುಲನಾತ್ಮಕವಾಗಿ ರೇಡಾರ್ ಅಡಿಯಲ್ಲಿ ಉಳಿಯಬಹುದು.

ಹಿಡನ್ವಾಸ್ಪ್ ಬಗ್ಗೆ

ಹಿಡನ್ವಾಸ್ಪ್ ಸಾಕಷ್ಟು ವಿಶಿಷ್ಟ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೊಂದಿದೆ ಏಕೆಂದರೆ ಮಾಲ್ವೇರ್ ಇನ್ನೂ ಸಕ್ರಿಯವಾಗಿದೆ ಮತ್ತು ಎಲ್ಲಾ ಪ್ರಮುಖ ಆಂಟಿವೈರಸ್ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಶೂನ್ಯವನ್ನು ಕಂಡುಹಿಡಿಯುವ ಪ್ರಮಾಣವನ್ನು ಹೊಂದಿದೆ.

ಸಾಮಾನ್ಯ ಲಿನಕ್ಸ್ ಮಾಲ್ವೇರ್ಗಿಂತ ಭಿನ್ನವಾಗಿ, ಹಿಡನ್ವಾಸ್ಪ್ ಕ್ರಿಪ್ಟೋಗ್ರಫಿ ಅಥವಾ ಡಿಡಿಒಎಸ್ ಚಟುವಟಿಕೆಯ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಿಲ್ಲ. ಇದು ಸಂಪೂರ್ಣವಾಗಿ ಉದ್ದೇಶಿತ ರಿಮೋಟ್ ಕಂಟ್ರೋಲ್ ಟ್ರೋಜನ್ ಆಗಿದೆ.

ಈಗಾಗಲೇ ಆಕ್ರಮಣಕಾರರ ನಿಯಂತ್ರಣದಲ್ಲಿರುವ ಅಥವಾ ಹೆಚ್ಚಿನ ಗುರುತಿಸುವಿಕೆಗೆ ಒಳಗಾದ ಬಲಿಪಶುಗಳಿಗೆ ಉದ್ದೇಶಿತ ದಾಳಿಯಲ್ಲಿ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಬಳಸಲಾಗಿದೆಯೆಂದು ಪುರಾವೆಗಳು ಹೆಚ್ಚಿನ ಸಂಭವನೀಯತೆಯನ್ನು ತೋರಿಸುತ್ತವೆ.

ಹಿಡನ್ವಾಸ್ಪ್ನ ಲೇಖಕರು ಲಭ್ಯವಿರುವ ವಿವಿಧ ತೆರೆದ ಮೂಲ ದುರುದ್ದೇಶಪೂರಿತ ಕಾರ್ಯಕ್ರಮಗಳಿಂದ ಹೆಚ್ಚಿನ ಪ್ರಮಾಣದ ಕೋಡ್ ಅನ್ನು ಅಳವಡಿಸಿಕೊಂಡಿದ್ದಾರೆ ಸಾರ್ವಜನಿಕವಾಗಿ, ಮಿರೈ ಮತ್ತು ಅ Az ಾ el ೆಲ್ ರೂಟ್‌ಕಿಟ್‌ನಂತೆ.

ಅಲ್ಲದೆ, ಈ ಮಾಲ್ವೇರ್ ಮತ್ತು ಇತರ ಚೀನೀ ಮಾಲ್ವೇರ್ ಕುಟುಂಬಗಳ ನಡುವೆ ಕೆಲವು ಹೋಲಿಕೆಗಳಿವೆ, ಆದಾಗ್ಯೂ, ಗುಣಲಕ್ಷಣವನ್ನು ಕಡಿಮೆ ವಿಶ್ವಾಸದಿಂದ ಮಾಡಲಾಗುತ್ತದೆ.

ತನಿಖೆಯಲ್ಲಿ, ಸ್ಕ್ರಿಪ್ಟ್ ಸಾಕಷ್ಟು ಬಲವಾದ ಪಾಸ್‌ವರ್ಡ್‌ನೊಂದಿಗೆ 'sftp' ಹೆಸರಿನ ಬಳಕೆದಾರರ ಬಳಕೆಯನ್ನು ಅವಲಂಬಿಸಿದೆ ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ.

ಸಹ, ಸೋಂಕು ಮೊದಲೇ ಸಂಭವಿಸಿದಲ್ಲಿ ಮಾಲ್ವೇರ್ನ ಹಿಂದಿನ ಆವೃತ್ತಿಗಳನ್ನು ತೊಡೆದುಹಾಕಲು ಸ್ಕ್ರಿಪ್ಟ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಸ್ವಚ್ ans ಗೊಳಿಸುತ್ತದೆ.

ತರುವಾಯ, ಟ್ರೋಜನ್ ಮತ್ತು ರೂಟ್‌ಕಿಟ್ ಸೇರಿದಂತೆ ಎಲ್ಲಾ ಘಟಕಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಸರ್ವರ್‌ನಿಂದ ಫೈಲ್ ಅನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಯಂತ್ರಕ್ಕೆ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ.

ರೀಬೂಟ್ ಮಾಡಿದ ನಂತರವೂ ಕಾರ್ಯನಿರ್ವಹಿಸುವಂತೆ ಸ್ಕ್ರಿಪ್ಟ್ /etc/rc.local ಸ್ಥಳಕ್ಕೆ ಟ್ರೋಜನ್ ಬೈನರಿ ಅನ್ನು ಸೇರಿಸುತ್ತದೆ.

ಇಂಟರ್ನ್ಯಾಷನಲ್ ಇನ್‌ಸ್ಟಿಟ್ಯೂಟ್ ಫಾರ್ ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ (ಐಐಸಿಎಸ್) ನ ತಜ್ಞರು ಹಿಡನ್ ವಾಸ್ಪ್ ರೂಟ್‌ಕಿಟ್ ಮತ್ತು ಅಜ az ೆಲ್ ಮಾಲ್‌ವೇರ್ ನಡುವೆ ಹಲವಾರು ಹೋಲಿಕೆಗಳನ್ನು ಕಂಡುಕೊಂಡಿದ್ದಾರೆ, ಜೊತೆಗೆ ಕೆಲವು ಸ್ಟ್ರಿಂಗ್ ತುಣುಕುಗಳನ್ನು ಚೀನಾ Z ಡ್ ಮಾಲ್‌ವೇರ್ ಮತ್ತು ಮಿರೈ ಬೋಟ್‌ನೆಟ್‌ನೊಂದಿಗೆ ಹಂಚಿಕೊಳ್ಳುತ್ತಾರೆ.

"ಹಿಡನ್ವಾಸ್ಪ್‌ಗೆ ಧನ್ಯವಾದಗಳು, ಹ್ಯಾಕರ್‌ಗಳು ಲಿನಕ್ಸ್ ಟರ್ಮಿನಲ್ ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸಬಹುದು, ಫೈಲ್‌ಗಳನ್ನು ಚಲಾಯಿಸಬಹುದು, ಹೆಚ್ಚುವರಿ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ಹೆಚ್ಚಿನದನ್ನು ಮಾಡಬಹುದು" ಎಂದು ತಜ್ಞರು ಹೇಳಿದರು.

ತನಿಖೆಯು ಕೆಲವು ಆವಿಷ್ಕಾರಗಳನ್ನು ನೀಡಿದ್ದರೂ, ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಸೋಂಕು ತಗುಲಿಸಲು ಹ್ಯಾಕರ್‌ಗಳು ಬಳಸುವ ಅಟ್ಯಾಕ್ ವೆಕ್ಟರ್ ಅನ್ನು ತಜ್ಞರು ಇನ್ನೂ ತಿಳಿದಿಲ್ಲ, ಆದರೂ ಒಂದು ಸಂಭಾವ್ಯ ಮಾರ್ಗವೆಂದರೆ ದಾಳಿಕೋರರು ಈಗಾಗಲೇ ತಮ್ಮ ನಿಯಂತ್ರಣದಲ್ಲಿರುವ ಕೆಲವು ವ್ಯವಸ್ಥೆಗಳಿಂದ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ನಿಯೋಜಿಸಿದ್ದಾರೆ.

"ಹಿಡನ್ವಾಸ್ಪ್ ಮತ್ತೊಂದು ದಾಳಿಯ ಎರಡನೇ ಹಂತವಾಗಬಹುದು" ಎಂದು ತಜ್ಞರು ತೀರ್ಮಾನಿಸಿದರು

ನನ್ನ ಸಿಸ್ಟಮ್ ದುರ್ಬಲವಾಗಿದೆಯೇ ಎಂದು ತಡೆಯುವುದು ಅಥವಾ ತಿಳಿಯುವುದು ಹೇಗೆ?

ಅವರ ಸಿಸ್ಟಮ್ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲು, ಅವರು "ld.so" ಫೈಲ್‌ಗಳನ್ನು ಹುಡುಕಬಹುದು. ಯಾವುದೇ ಫೈಲ್‌ಗಳು '/etc/ld.so.preload' ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಹೊಂದಿಲ್ಲದಿದ್ದರೆ, ನಿಮ್ಮ ಸಿಸ್ಟಮ್ ಹೊಂದಾಣಿಕೆ ಆಗಬಹುದು.

ಏಕೆಂದರೆ, ಅನಿಯಂತ್ರಿತ ಸ್ಥಳಗಳಿಂದ LD_PRELOAD ಕಾರ್ಯವಿಧಾನವನ್ನು ಜಾರಿಗೊಳಿಸಲು ಟ್ರೋಜನ್ ಇಂಪ್ಲಾಂಟ್ ld.so ನ ನಿದರ್ಶನಗಳನ್ನು ಜೋಡಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.

ತಡೆಗಟ್ಟಲು ನಾವು ಈ ಕೆಳಗಿನ ಐಪಿ ವಿಳಾಸಗಳನ್ನು ನಿರ್ಬಂಧಿಸಬೇಕು:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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ಮೂಲ: https://www.intezer.com/


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.

  1.   ಅರ್ನೆಸ್ಟೊ ಡೆ ಲಾ ಸೆರ್ನಾ ಡಿಜೊ
    ಮಾಡುತ್ತದೆ 5 ವರ್ಷಗಳ

    ಸುಡೋ ಪಾಸ್ವರ್ಡ್ ತಿಳಿದಿರಬೇಕೇ ??? ಈ ಟಿಪ್ಪಣಿ ಅರ್ಧ ಫಲೋಪಾ ಆಗಿದೆ

    ಅರ್ನೆಸ್ಟೊ ಡೆ ಲಾ ಸೆರ್ನಾ ಅವರಿಗೆ ಪ್ರತ್ಯುತ್ತರಿಸಿ
  2.   ಕ್ಲಾಡಿಯೊ ಗುಯೆಂಡೆಲ್ಮನ್ ಡಿಜೊ
    ಮಾಡುತ್ತದೆ 5 ವರ್ಷಗಳ

    ಅವನು ಆಂಟಿವೈರಸ್ ಕಂಪನಿಯಲ್ಲಿ ಕೆಲಸ ಮಾಡಿದ್ದಾನೋ ಗೊತ್ತಿಲ್ಲ ಆದರೆ ಟಿಎಕ್ಸ್‌ಟಿ, ಎಸ್‌ಎಚ್ ಮಾತ್ರ ಜೀವನಕ್ಕೆ ಬರುವುದಿಲ್ಲ .. ಈ ಲೇಖನದಲ್ಲಿ ನಾನು ಏನನ್ನೂ ನಂಬುವುದಿಲ್ಲ.

    ಕ್ಲಾಡಿಯೊ ಗುಯೆಂಡೆಲ್ಮನ್‌ಗೆ ಪ್ರತ್ಯುತ್ತರಿಸಿ