L Дослідники лабораторії Intezer виявили нові зловмисні програми спрямована на екосистему Linux. Зловмисне програмне забезпечення називається "HiddenWasp", Це реалізовано для віддаленого управління зараженими системами Linux.
Хоча це не рідкість, фахівці з мережевої безпеки зазначають, що ризики безпеки, присутні в системах Linux, недостатньо відомі.
І головна характеристика полягає в тому, що такі типи загроз безпеці не отримують такого поширення, як ті, що впливають на системи Windows.
HiddenWasp - це загроза кібербезпеки, яку потрібно вирішити, оскільки після певного аналізу було зроблено висновок, що рівень виявлення в найбільш часто використовуваних системах виявлення шкідливих програм у світі становить 0%.
Зловмисне програмне забезпечення теж розроблено з основних частин коду, що використовуються в руткіті Mirai та Azazel.
Коли дослідники виявили, що ці файли не виявляються антивірусами, виявилося, що серед завантажених файлів був скрипт bash разом із двійковим троянським імплантатом.
Крім того, антивірусні рішення для Linux, як правило, не такі надійні, як на інших платформах.
Таким чином, хакери, орієнтовані на системи Linux, менш стурбовані застосуванням надмірних методів ухилення, оскільки навіть при повторному використанні великої кількості коду загрози можуть залишатися відносно під радаром.
Про Hiddenwasp
Hiddenwasp має досить унікальні характеристики оскільки зловмисне програмне забезпечення все ще активне та має рівень нульового виявлення у всіх основних антивірусних системах.
На відміну від поширених шкідливих програм Linux, HiddenWasp не орієнтований на криптографію чи діяльність DDoS. Це суто цільовий пульт дистанційного керування трояном.
Докази показують високу ймовірність того, що шкідливе програмне забезпечення використовується для цілеспрямованих атак для жертв, які вже перебувають під контролем зловмисника або які пройшли високе визнання.
Автори HiddenWasp прийняли велику кількість коду з різних доступних шкідливих програм з відкритим кодом публічно, як Мірай та руткіт Azazel.
Крім того, є певна схожість між цим шкідливим програмним забезпеченням та іншими китайськими сімействами шкідливих програм, однак приписування здійснюється з невеликою впевненістю.
У ході розслідування експерти виявили, що сценарій спирається на використання користувача на ім'я 'sftp' з досить надійним паролем.
Крім того, сценарій очищає систему, щоб позбутися попередніх версій шкідливого програмного забезпечення на випадок зараження раніше.
Згодом на сервер, що містить усі компоненти, включаючи троянські програми та руткіт, на завантажену машину завантажується файл.
Сценарій також додає двійковий файл-троян до розташування /etc/rc.local, щоб він працював навіть після перезавантаження.
Фахівці Міжнародного інституту кібербезпеки (IICS) виявили кілька подібностей між руткітом HiddenWasp та шкідливим програмним забезпеченням Azazel, а також передали деякі фрагменти рядків зі шкідливим програмним забезпеченням ChinaZ та ботнетом Mirai.
"Завдяки HiddenWasp хакери можуть запускати команди терміналу Linux, запускати файли, завантажувати додаткові сценарії тощо", - додали експерти.
Хоча розслідування дало деякі висновки, експерти досі не знають вектора атаки, який використовують хакери для зараження систем Linux, хоча один із можливих способів полягає в тому, що зловмисники розгорнули шкідливе програмне забезпечення з деяких систем, які вже під їх контролем.
"HiddenWasp може стати другим етапом чергової атаки", - підсумували експерти
Як запобігти чи дізнатись, чи вразлива моя система?
Щоб перевірити, чи заражена їх система, вони можуть шукати файли "ld.so". Якщо будь-який з файлів не містить рядка '/etc/ld.so.preload', ваша система може бути зламана.
Це тому, що троянський імплант намагатиметься виправити екземпляри ld.so, щоб застосувати механізм LD_PRELOAD із довільних розташувань.
Для запобігання ми повинні блокувати наступні IP-адреси:
103.206.123[.]13
103.206.122[.]245
http://103.206.123[.]13:8080/system.tar.gz
http://103.206.123[.]13:8080/configUpdate.tar.gz
http://103.206.123[.]13:8080/configUpdate-32.tar.gz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Фуенте: https://www.intezer.com/
Чи повинен бути відомий пароль sudo ??? Ця нота - половина фалопи
Я не знаю, чи працював він в антивірусній компанії, але TXT, SH не оживає сам .. Я нічого не вірю в цій статті.