„HiddenWasp“ - pavojinga kenkėjiška programa, veikianti „Linux“ sistemas

Darkcrizt

4 minučių

hiddenwasp-linux-kenkėjiška programa

Los „Intezer Labs“ saugumo tyrėjai atrado naują kenkėjišką programą nukreipta į „Linux“ ekosistemą. Kenkėjiška programa vadinamas „HiddenWasp“, Tai įgyvendinama nuotoliniu būdu valdant užkrėstas „Linux“ sistemas.

Nors tinklo saugumo specialistai nėra retas atvejis, jie mini, kad „Linux“ sistemoms kylanti saugumo rizika nėra pakankamai žinoma.

Pagrindinė savybė yra ta, kad tokio tipo grėsmės saugumui nėra tiek platinamos, kiek tos, kurios veikia „Windows“ sistemas.

„HiddenWasp“ yra kibernetinio saugumo grėsmė, kurią reikia spręsti, nes atlikus tam tikrą analizę daroma išvada, kad jis dažniausiai naudojamose kenkėjiškų programų aptikimo sistemose aptinka 0%.

Kenkėjiška programa taip pat yra sukurtas iš pagrindinių „Mirai“ ir „Azazel“ rootkit naudojamo kodo dalių.

Tyrėjams nustačius, kad antivirusai neaptinka šių failų, paaiškėjo, kad tarp įkeltų failų yra „bash“ scenarijus kartu su dvejetainiu Trojos implantu.

Be to, antivirusiniai sprendimai, skirti „Linux“, nėra tokie pat patikimi kaip kitose platformose.

Todėl programišiai, nukreipti į „Linux“ sistemas, yra mažiau susirūpinę dėl per didelio išsisukinėjimo kadangi net ir pakartotinai naudojant didelius kiekius kodų, grėsmės gali likti palyginti po radaru.

Apie „Hiddenwasp“

„Hiddenwasp“ turi gana unikalių savybių nes kenkėjiška programa vis dar aktyvi ir visose pagrindinėse antivirusinėse sistemose aptikimo lygis yra lygus nuliui.

Skirtingai nuo įprastos „Linux“ kenkėjiškos programos, „HiddenWasp“ nėra orientuotas į kriptografiją ar DDoS veiklą. Tai grynai tikslinis nuotolinio valdymo Trojanas.

Įrodymai rodo didelę tikimybę, kad kenkėjiškos programos bus naudojamos taikant išpuolius aukoms, kurias jau kontroliuoja užpuolikas arba kurios yra labai pripažintos.

„HiddenWasp“ autoriai perėmė daug kodų iš įvairių prieinamų atvirojo kodo kenkėjiškų programų viešai, kaip „Mirai“ ir „Azazel“ rootkit.

Be to, yra keletas šios kenkėjiškos programos ir kitų Kinijos kenkėjiškų programų šeimų panašumų, tačiau priskyrimas atliekamas mažai pasitikint savimi.

Tyrimo metu ekspertai nustatė, kad scenarijus remiasi vartotojo, pavadinto „sftp“, naudojimu su gana stipriu slaptažodžiu.

Be to, scenarijus valo sistemą, kad atsikratytų ankstesnių kenkėjiškų programų versijų, jei infekcija įvyktų anksčiau.

Vėliau iš serverio į pažeistą kompiuterį atsisiunčiamas failas, kuriame yra visi komponentai, įskaitant „Trojan“ ir „rootkit“.

Scenarijus taip pat prideda Trojan dvejetainį failą prie /etc/rc.local vietos, kad jis veiktų net ir perkraunant.

Tarptautinio kibernetinio saugumo instituto (IICS) specialistai nustatė keletą „HiddenWasp“ šakninio rinkinio ir „Azazel“ kenkėjiškų programų panašumų, taip pat dalijosi keliais stygų fragmentais su „ChinaZ“ kenkėjiška programa ir „Mirai“ botnetu.

„Dėl„ HiddenWasp “įsilaužėliai gali vykdyti„ Linux “terminalo komandas, paleisti failus, atsisiųsti papildomus scenarijus ir dar daugiau“, - pridūrė ekspertai.

Nors atlikus tyrimą buvo padaryta tam tikrų išvadų, ekspertai vis dar nežino atakų vektoriaus, kurį įsilaužėliai naudojo užkrėsdami „Linux“ sistemas, nors vienas iš galimų būdų yra tas, kad užpuolikai įdiegė kenkėjišką programinę įrangą iš kai kurių jau jų kontroliuojamų sistemų.

„HiddenWasp“ gali būti antrasis kitos atakos etapas “, - padarė išvadą ekspertai

Kaip išvengti ar sužinoti, ar mano sistema yra pažeidžiama?

Norėdami patikrinti, ar jų sistema yra užkrėsta, jie gali ieškoti „ld.so“ failų. Jei kuriame nors faile nėra eilutės „/etc/ld.so.preload“, jūsų sistema gali būti pažeista.

Taip yra todėl, kad „Trojan“ implantas bandys užtaisyti „ld.so“ egzempliorius, kad „LD_PRELOAD“ mechanizmas būtų įgyvendintas iš savavališkų vietų.

Norėdami užkirsti kelią, turime užblokuoti šiuos IP adresus:

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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Fuente: https://www.intezer.com/


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   Ernestas de la Serna sakė
    prieš 5 metai

    Ar turėtų būti žinomas sudo slaptažodis ??? Šis užrašas yra pusė falopos

    Atsakymas Ernesto de la Serna
  2.   Claudio Guendelmanas sakė
    prieš 5 metai

    Nežinau, ar jis dirbo antivirusinėje kompanijoje, bet TXT, SH neatgyja vienas. Aš netikiu niekuo šiame straipsnyje.

    Atsakymas Claudio Guendelman