Kürzlich entdeckten Sicherheitsexperten von Kaspersky und Symantec einen extrem unauffälligen Linux-Spionage-Trojaner, der sich darauf spezialisiert hat, sensible Daten aus Regierungsbehörden und wichtigen Branchen weltweit zu stehlen.
Die neueste Entdeckung eines Linux-Spionagetrojaners ist ein weiteres Puzzlestück von Kaspersky und Symantecs fortschrittlichem persistentem Angriff Turla, der im August dieses Jahres entdeckt wurde. Die Hauptziele der "Tulan"-Angriffe sind Regierungsbehörden, Botschaften und Konsulate in 45 Ländern weltweit, Militär-, Bildungs- und Forschungseinrichtungen sowie Pharmaunternehmen, und es ist die führende fortschrittliche persistente Angriffsaktivität des APT heute, die auf dem Niveau des kürzlich entdeckten Regin liegt und sehr ähnlich ist wie die in den letzten Jahren entdeckten staatlichen Malware wie Flame, Stuxnet und Duqu und technisch hoch ausgeklügelt.
Laut Kaspersky Lab hatte die Sicherheitsgemeinschaft zuvor nur den "Tulan"-Spionage-Trojaner auf Windows-Systemen gefunden. Und weil "Tulan" Rootkit-Technologie verwendet, ist es extrem schwer zu erkennen.
Die Enthüllung des Linux-Spionage-Trojaners zeigt, dass die Angriffsfläche des "Tulan" auch das Linux-System abdeckt, ähnlich wie die Windows-Version des Trojaners; die Linux-Version des "Tulan"-Trojaners ist sehr tarnkapp und kann mit herkömmlichen Methoden wie dem Netstat-Befehl nicht erkannt werden, und der Trojaner dringt ins System ein und bleibt still, manchmal sogar jahrelang im Computer des Ziels, bis der Angreifer ein IP-Paket mit einer bestimmten Zahlenfolge sendet.
Nach der Aktivierung kann die Linux-Version des Trojaners beliebige Befehle ausführen, selbst ohne Systemrechte zu erhöhen, und jeder gewöhnliche privilegierte Benutzer kann ihn zur Überwachung starten.
Die Sicherheitsgemeinschaft verfügt derzeit über nur sehr begrenzte Kenntnisse der Linux-Version des Trojaners und ihrer potenziellen Fähigkeiten, und bekannt ist, dass der Trojaner in den Sprachen C und C++ entwickelt wird, den notwendigen Code enthält und unabhängig arbeiten kann. Der Code des Turan-Trojaners entfernt symbolische Informationen, was es Forschern erschwert, diese nachzuentwickeln und tiefgehende Forschung durchzuführen.
Security Niu empfiehlt, dass Linux-Systemadministratoren wichtiger Abteilungen und Unternehmen so schnell wie möglich überprüfen, ob sie mit der Linux-Version des Trojaners infiziert sind, und die Methode ist sehr einfach: Überprüfen Sie, ob der ausgehende Datenverkehr folgende Verbindung oder Adresse enthält: news-bbc.podzone[.] org oder 80.248.65.183, die von der entdeckten Linux-Version des Trojaners fest kodiert ist. Systemadministratoren können außerdem YARA, ein Open-Source-Malware-Forschungstool, nutzen, um Zertifikate zu generieren und zu erkennen, ob sie "TREX_PID=%u" und "Remote VS ist leer!" enthalten. Zwei Saiten.
|
Veröffentlicht am 20.12.2014 00:17:04
|
|
|
|
Veröffentlicht am 20.12.2014 20:04:26
Ich habe das Gefühl, dass die Leute jetzt großartig sind