For nylig opdagede sikkerhedseksperter fra Kaspersky og Symantec en ekstremt snigende Linux-spiontrojaner, der specialiserer sig i at stjæle følsomme data fra regeringsafdelinger og vigtige industrier verden over.
Den seneste opdagelse af en Linux-spiontrojan er endnu et stykke i puslespillet bag Kaspersky og Symantecs avancerede vedvarende angreb, Turla, som blev opdaget i august i år. De primære mål for "Tulan"-angreb er regeringsafdelinger, ambassader og konsulater i 45 lande verden over, militære, uddannelses- og videnskabelige forskningsinstitutioner samt medicinalvirksomheder, og det er APT's førende avancerede vedvarende angrebsaktivitet i dag, som er på samme niveau som det nyligt opdagede Regin, og ligner meget den statslige malware, der er opdaget i de senere år, såsom Flame, Stuxnet og Duqu, og er meget teknisk avanceret.
Ifølge Kaspersky Lab havde sikkerhedsmiljøet tidligere kun fundet "Tulan" spiontrojaneren baseret på Windows-systemer. Og fordi "Tulan" bruger rootkit-teknologi, er det ekstremt svært at opdage.
Afsløringen af Linux-spiontrojaneren viser, at angrebsfladen på "Tulan" også dækker Linux-systemet, ligesom Windows-versionen af trojaneren, mens Linux-versionen af "Tulan"-trojaneren er meget stealthy og ikke kan opdages med konventionelle metoder som Netstat-kommandoen, og trojaneren trænger ind i systemet og forbliver tavs, nogle gange endda lurende i målets computer i årevis, indtil angriberen sender en IP-pakke med en bestemt talsekvens.
Efter aktivering kan Linux-versionen af Trojaneren udføre vilkårlige kommandoer, selv uden at hæve systemrettighederne, og enhver almindelig privilegeret bruger kan starte den til overvågning.
Sikkerhedsfællesskabet har i øjeblikket meget begrænset viden om Linux-versionen af trojaneren og dens potentielle kapaciteter, og det, man ved, er, at trojaneren udvikles i C- og C++-sprog, indeholder den nødvendige kodebase og kan operere uafhængigt. Turan Trojans kode fjerner symbolsk information, hvilket gør det vanskeligt for forskere at reverse engineere og udføre dybdegående forskning.
Security Niu anbefaler, at Linux-systemadministratorer for vigtige afdelinger og virksomheder tjekker om de er inficeret med Linux-versionen af Trojaneren så hurtigt som muligt, og metoden er meget enkel: tjek om den udgående trafik indeholder følgende link eller adresse: news-bbc.podzone[.] org eller 80.248.65.183, som er kommandokontrolserveradressen, der er hardkodet af den Linux-version af Trojanen, der er blevet opdaget. Systemadministratorer kan også bruge YARA, et open source malware-forskningsværktøj, til at generere certifikater og opdage, om de indeholder "TREX_PID=%u" og "Remote VS er tomt!" To strenge.
|
Opslået på 20/12/2014 00.17.04
|
|
|
|
Opslået på 20/12/2014 20.04.26
Jeg føler, at folk er fantastiske nu