undefined Výskumní pracovníci spoločnosti Intezer Labs v oblasti bezpečnosti objavili nový malvér zamerané na ekosystém Linux. Malvér s názvom „HiddenWasp“, Toto je implementované na diaľkové ovládanie infikovaných systémov Linux.
Aj keď to nie je nezvyčajné, odborníci na sieťovú bezpečnosť spomínajú, že bezpečnostné riziká v systémoch Linux nie sú dostatočne známe.
A hlavnou charakteristikou je, že tieto typy bezpečnostných hrozieb sa nešíria tak výrazne ako tie, ktoré ovplyvňujú systémy Windows.
HiddenWasp je hrozba kybernetickej bezpečnosti, ktorú je potrebné vyriešiť, pretože po nejakej analýze sa dospelo k záveru, že v najpoužívanejších systémoch na detekciu škodlivého softvéru na svete má mieru detekcie 0%.
Malvér tiež je vyvinutý z hlavných častí kódu použitého v rootkite Mirai a Azazel.
Keď vedci zistili, že tieto súbory antivírus nezistil, ukázalo sa, že medzi nahranými súbormi bol bash skript spolu s binárnym trójskym implantátom.
Antivírusové riešenia pre Linux tiež nebývajú také robustné ako na iných platformách.
Preto, hackeri zacielení na systémy Linux sa menej obávajú implementácie techník nadmerného úniku, pretože aj keď sa znovu použije veľké množstvo kódu, hrozby môžu relatívne zostať pod radarom.
O spoločnosti Hiddenwasp
Hiddenwasp má celkom jedinečné vlastnosti pretože malware je stále aktívny a jeho detekcia je nulová vo všetkých hlavných antivírusových systémoch.
Na rozdiel od bežného malvéru v systéme Linux HiddenWasp sa nezameriava na kryptografiu alebo aktivitu DDoS. Je to čisto cielený trójsky kôň na diaľkové ovládanie.
Dôkazy ukazujú veľkú pravdepodobnosť, že sa malware použije pri cielených útokoch na obete, ktoré už majú útočník pod kontrolou alebo ktoré si získali vysoké uznanie.
Autori HiddenWasp prijali veľké množstvo kódu z rôznych dostupných škodlivých programov s otvoreným zdrojom verejne, ako Mirai a azazelský rootkit.
Medzi týmto malvérom a inými čínskymi rodinami malvéru tiež existujú určité podobnosti, avšak uvedenie zdroja sa vykonáva s minimálnou istotou.
Pri výskume odborníci zistili, že skript sa spolieha na použitie používateľa s názvom „sftp“ s pomerne silným heslom.
Okrem toho, skript vyčistí systém tak, aby sa zbavil predchádzajúcich verzií škodlivého softvéru pre prípad, že by došlo k infekcii skôr.
Následne sa zo servera stiahne súbor do napadnutého počítača, ktorý obsahuje všetky komponenty vrátane trójskeho koňa a rootkitu.
Skript tiež pridá binárny kód trójskych koní do umiestnenia /etc/rc.local, aby fungoval aj po reštarte.
Špecialisti z Medzinárodného inštitútu pre kybernetickú bezpečnosť (IICS) našli niekoľko podobností medzi rootkitom HiddenWasp a škodlivým softvérom Azazel, ako aj zdieľaním niektorých fragmentov reťazcov s malwarom ChinaZ a botnetom Mirai.
„Vďaka HiddenWaspu môžu hackeri spúšťať príkazy terminálu Linuxu, spúšťať súbory, sťahovať ďalšie skripty a ďalšie,“ dodali odborníci.
Aj keď vyšetrovanie prinieslo určité zistenia, odborníci stále nepoznajú vektor útoku používaný hackermi na infikovanie systémov Linux, aj keď jedným z možných spôsobov je, že útočníci nasadili malware z niektorých systémov, ktoré už majú pod kontrolou.
„HiddenWasp môže byť druhou fázou ďalšieho útoku,“ uzavreli odborníci
Ako zabrániť alebo zistiť, či je môj systém zraniteľný?
Ak chcú skontrolovať, či je ich systém infikovaný, môže vyhľadať súbory „ld.so“. Ak niektorý zo súborov neobsahuje reťazec „/etc/ld.so.preload“, môže byť váš systém napadnutý.
Je to tak preto, lebo trójsky implantát sa pokúsi opraviť inštancie súboru ld.so, aby vynútil mechanizmus LD_PRELOAD z ľubovoľných umiestnení.
Aby sme tomu zabránili, musíme zablokovať nasledujúce adresy IP:
103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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: https://www.intezer.com/
Malo by byť známe sudo heslo ??? Táto poznámka je polovica falopy
Neviem, či pracoval pre antivírusovú spoločnosť, ale TXT, SH nežije sám ... neverím ničomu v tomto článku.