Л Истраживачи компаније Интезер Лабс открили су нови злонамерни софтвер усмерен на Линук екосистем. Злонамерних програма под називом „ХидденВасп“, Ово је примењено за даљинску контролу заражених Линук система.
Иако нису реткост, стручњаци за мрежну безбедност напомињу да сигурносни ризици присутни у Линук системима нису довољно познати.
А главна карактеристика је да ове врсте безбедносних претњи немају толико ширења као оне које утичу на Виндовс системе.
ХидденВасп је претња сајбер безбедности која треба да се реши, пошто се након неке анализе закључује да има стопу откривања од 0% у најчешће коришћеним системима за откривање малвера на свету.
Злонамерни софтвер такође је развијен из главних делова кода који се користе у рооткит-у Мираи и Азазел.
Када су истраживачи открили да антивируси не откривају ове датотеке, показало се да међу отпремљеним датотекама постоји басх скрипта заједно са бинарним тројанским имплантатом.
Такође, антивирусна решења за Линук обично нису толико робусна као на другим платформама.
Дакле, хакери који циљају Линук системе мање су забринути због примене техника прекомерног избегавања, јер чак и када се велике количине кода поново користе, претње могу остати релативно испод радара.
О Хидденвасп-у
Хидденвасп има прилично јединствене карактеристике јер је злонамерни софтвер и даље активан и има стопу откривања нула у свим главним антивирусним системима.
За разлику од уобичајеног злонамерног софтвера за Линук, ХидденВасп није усредсређен на криптографију или ДДоС активност. То је чисто циљани тројански даљински управљач.
Докази показују велику вероватноћу да се злонамерни софтвер користи у циљаним нападима за жртве које су већ под контролом нападача или су подвргнуте великом препознавању.
Аутори ХидденВасп-а су усвојили велику количину кода из различитих доступних злонамерних програма јавно, попут Мираи и рооткита Азазел.
Такође, постоје неке сличности између овог малвера и других кинеских породица малвера, међутим приписивање се врши са мало поверења.
У истрази су стручњаци открили да се скрипта ослања на употребу корисника по имену 'сфтп' са прилично јаком лозинком.
Поред тога, скрипта чисти систем да би се решио претходних верзија малвера у случају да се инфекција догодила раније.
После тога се датотека са компромитоване машине преузима са сервера који садржи све компоненте, укључујући тројански вирус и рооткит.
Скрипта такође додаје тројански бинарни фајл на /етц/рц.лоцал локацију да би функционисао чак и након поновног покретања.
Специјалисти Међународног института за сајбер безбедност (ИИЦС) пронашли су неколико сличности између рооткита ХидденВасп и малвера Азазел, као и дељење неких фрагмената низа са малвером ЦхинаЗ и ботнетом Мираи.
„Захваљујући ХидденВасп-у, хакери могу покретати команде Линук терминала, покретати датотеке, преузимати додатне скрипте и још много тога“, додали су стручњаци.
Иако је истрага донела нека сазнања, стручњаци још увек не знају вектор напада који хакери користе да би заразили Линук системе, иако је један од могућих начина да нападачи примене малвер из неких система који су већ под њиховом контролом.
„ХидденВасп би могао бити друга фаза још једног напада“, закључили су стручњаци
Како спречити или знати да ли је мој систем рањив?
Да би проверили да ли је њихов систем заражен, могу потражити датотеке "лд.со". Ако било која датотека не садржи низ '/етц/лд.со.прелоад', ваш систем може бити угрожен.
То је зато што ће тројански имплант покушати да закрпи инстанце лд.со како би наметнуо механизам ЛД_ПРЕЛОАД са произвољних локација.
Иако да бисмо то спречили, морамо блокирати следеће ИП адресе:
103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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: https://www.intezer.com/
Да ли би требала бити позната судо лозинка ??? Ова белешка је пола фалопе
Не знам да ли је радио за антивирусну компанију, али ТКСТ, СХ не заживљава сам ... Ништа не верујем у овај чланак.