HiddenWasp，一种有害的恶意软件，会影响Linux系统

MGI Intezer Labs安全研究人员发现了新的恶意软件 针对Linux生态系统。 恶意软件 叫做“ HiddenWasp” 这是为了远程控制受感染的Linux系统而实现的。

尽管并非不常见，但网络安全专家提到Linux系统中存在的安全风险还不是很广为人知。

并且主要特征是，这些类型的安全威胁没有像影响Windows系统那样受到广泛的传播。

HiddenWasp是一种网络安全威胁，需要解决，因为经过一些分析，得出的结论是，在世界上最常用的恶意软件检测系统中，其检测率为0％。

也是恶意软件 是根据Mirai和Azazel rootkit中使用的代码的主要部分开发的。

当研究人员发现防病毒软件未检测到这些文件时，似乎在上传的文件中有一个bash脚本以及一个二进制Trojan植入程序。

另外，针对Linux的防病毒解决方案往往不如其他平台强大。

因此， 针对Linux系统的黑客不太担心实施过多的规避技术， 因为即使重复使用大量代码，威胁也可以相对保持隐患。

关于Hiddenwasp

Hiddenwasp具有相当独特的特征 因为该恶意软件仍处于活动状态，并且在所有主要的防病毒系统中的检测率均为零。

与常见的Linux恶意软件不同， HiddenWasp不专注于加密或DDoS活动。 这是一个纯针对性的远程控制木马。

证据表明，对于已经在攻击者控制之下或受到高度认可的受害者，针对目标攻击使用恶意软件的可能性很高。

HiddenWasp的作者从各种可用的开源恶意程序中采用了大量代码 像Mirai和Azazel rootkit一样公开。

此外，此恶意软件与其他中国恶意软件家族之间也存在一些相似之处，但是归因是毫无把握的。

在调查中，专家发现该脚本依赖于使用名为“ sftp”的用户使用的密码强度很高。

另外， 该脚本会清理系统以清除以前版本的恶意软件，以防感染较早发生。

随后，将从包含特洛伊木马和rootkit在内的所有组件的服务器上下载文件到受感染的计算机。

该脚本还将一个特洛伊木马二进制文件添加到/etc/rc.local位置，以使其即使在重新启动后也可以工作。

国际网络安全研究所（IICS）的专家发现了HiddenWasp rootkit和Azazel恶意软件之间的一些相似之处，并与ChinaZ恶意软件和Mirai僵尸网络共享了一些字符串片段。

专家补充说：“由于HiddenWasp，黑客可以运行Linux终端命令，运行文件，下载其他脚本等等。”

尽管调查得出了一些发现，但是专家仍然不知道黑客用来感染Linux系统的攻击媒介，尽管一种可能的方式是攻击者已经从已经受其控制的某些系统中部署了恶意软件。

专家总结说：“ HiddenWasp可能是另一次攻击的第二阶段。”

如何预防或知道我的系统是否易受攻击？

要检查其系统是否被感染，他们可以寻找“ ld.so”文件。 如果任何文件不包含字符串“ /etc/ld.so.preload”，则系统可能已损坏。

这是因为Trojan植入程序将尝试修补ld.so实例，以从任意位置强制执行LD_PRELOAD机制。

为了防止这种情况，我们必须阻止以下IP地址：

103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz
e9e2e84ed423bfc8e82eb434cede5c9568ab44e7af410a85e5d5eb24b1e622e3
f321685342fa373c33eb9479176a086a1c56c90a1826a0aef3450809ffc01e5d
d66bbbccd19587e67632585d0ac944e34e4d5fa2b9f3bb3f900f517c7bbf518b
0fe1248ecab199bee383cef69f2de77d33b269ad1664127b366a4e745b1199c8
2ea291aeb0905c31716fe5e39ff111724a3c461e3029830d2bfa77c1b3656fc0
d596acc70426a16760a2b2cc78ca2cc65c5a23bb79316627c0b2e16489bf86c0
609bbf4ccc2cb0fcbe0d5891eea7d97a05a0b29431c468bf3badd83fc4414578
8e3b92e49447a67ed32b3afadbc24c51975ff22acbd0cf8090b078c0a4a7b53d
f38ab11c28e944536e00ca14954df5f4d08c1222811fef49baded5009bbbc9a2
8914fd1cfade5059e626be90f18972ec963bbed75101c7fbf4a88a6da2bc671b

数据来源： https://www.intezer.com/