瞄准现身恶意平台软件Linux(恶意软件系统研究人员黑客)

瞄准现身恶意平台软件Linux(恶意软件系统研究人员黑客)

安全公司Intezer发现了一种名为HiddenWasp的恶意软件,让黑客得以远端控制受感染的系统,HiddenWasp专门感染Linux平台,由使用者模式Rootkit、木马以及初始部署脚本组合而成,研究人员表示,这个恶意软件疑似由国内黑客创造。
Intezer指出,HiddenWasp与其他常见的Linux恶意软件不同,HiddenWasp目的不是将用户的电脑变成挖矿机开采加密货币,或是进行DDoS攻击,而是单纯用于远端控制。
HiddenWasp可以操作本机档案系统,上传、下载并执行档案,执行终端命令等动作。
HiddenWasp组成复杂,作者从各种公开可用的开源恶意软件中,像是Mirai和Azazel rootkit等专案借来大量代码,并且与其他国内恶意软件存在一些相似之处,特别是与近期Alphabet旗下的安全子公司Chronicle,发现的Winnti恶意程式Linux变种类似,而这个Winnti变种则是国内黑客的著名工具。
虽然有不少恶意软件也会拼凑使用来自于其他专案的代码,但研究人员从中找到一些线索,发现HiddenWasp与名称为Adore-ng的Linux中文开源Rootkit存在一些关联,而且虽然HiddenWasp可能由国内黑客开发,但是恶意软件本身却是在国内境外创建与营运,有趣的是HiddenWasp档案曾被上传至恶意软件分析网站VirusTotal中,使用的路径包含了一间国内鉴识公司的名字。
HiddenWasp的植入载体(Implant)被托管在ThinkDream位于香港的服务器中,研究人员提到,HiddenWasp是整个攻击手法的第二阶段工具,用来感染受害者已经受损的系统,他们无法得知黑客传播HiddenWasp的方法。
现在有证据显示,可能已经有受害者受到HiddenWasp控制,且进行过大规模侦查活动,目前HiddenWasp正处于活跃的状态,而且所有主要的防毒软件都检测不出来。
研究人员提到,HiddenWasp看起来是有针对性的恶意软件,但无法肯定是受到国家资助的攻击计划,但可以确定的是,HiddenWasp的目的,不是执行采矿或是DDoS攻击这种可以快速获取利润的短期目标。
要防止Linux系统受到HiddenWasp的攻击,可以阻止Intezer提供的C&C IP位置,而他们也提供了YARA规则,让系统检测在內存中执行的程序是否包含HiddenWasp植入载体。
另外,研究人员也提供了一个快速检查系统是否遭到感染的方法,就是搜索系统中的ld.so档案,当系统中不存在任何包含/etc/ld.so.preload字串的档案,则系统可能受到感染,因为HiddenWasp的植入载体会对ld.so实例进行补丁,以便从任意位置执行LD_PRELOAD机制。
资料来源:iThome Security

联系我们

在线咨询:点击这里给我发消息