Nemrégiben a Kaspersky és a Symantec biztonsági szakértői felfedeztek egy rendkívül lopakodó Linux kém-trójat, amely a kormányzati szervektől és a világ fontos iparágaitól származó érzékeny adatok ellopására specializálódott.
A legújabb Linux kémfelfedezés, a Trójas Trójas egy újabb darabja a Kaspersky és Symantec fejlett állandó támadásának, a Turla-nak, amelyet idén augusztusban fedeztek fel. A "Tulan" támadások fő célpontjai kormányzati szervek, nagykövetségek és konzulátusok 45 országban világszerte, katonai, oktatási és tudományos kutatóintézetek, valamint gyógyszeripari vállalatok, és ez a mai APT legnagyobb fejlett tartós támadási tevékenysége, amely megegyezik a nemrég felfedezett Reginnel, és nagyon hasonlít az elmúlt években felfedezett állami szintű kártevőkhöz, mint a Flame, Stuxnet és Duqu, és rendkívül fejlett technikailag kifinomult.
A Kaspersky Lab szerint a biztonsági közösség korábban csak a Windows rendszereken alapuló "Tulan" kém-trójai találta. És mivel a "Tulan" rootkit technológiát használ, rendkívül nehéz felismerni.
A Linux kémt-trójai leleplezése azt mutatja, hogy a "Tulan" támadó felülete a Linux rendszert is lefedi, hasonlóan a Trójai Windows verziójához, a "Tulan" Trójai Linux verziója rendkívül lopakodó, és nem észlelhető hagyományos módszerekkel, mint a Netstat parancs, és a Trojan belép a rendszerbe, és némán marad, néha évekig a célpont számítógépén is leselkedik, amíg a támadó egy IP-csomagot küld, amely egy adott számsorrendet tartalmaz.
Aktiválás után a Trojan Linux verziója képes tetszőleges parancsokat végrehajtani, még a rendszerjogosultságok emelése nélkül is, és bármely hétköznapi jogosultsággal rendelkező felhasználó elindíthatja a hívást figyelés céljából.
A biztonsági közösség jelenleg nagyon korlátozott ismeretekkel rendelkezik a Trojan Linux verziójáról és annak lehetséges lehetőségeiről, és az ismert, hogy a Trojan C és C++ nyelveken készült, tartalmazza a szükséges kódbázist, és önállóan képes működni. A Turan trójai kódja eltávolítja a szimbolikus információkat, ami megnehezíti a kutatók számára a visszafejtést és a mélyreható kutatás elvégzését.
A Security Niu azt javasolja, hogy fontos osztályok és vállalatok Linux rendszergazdái minél előbb ellenőrizzék, hogy megfertőzöttek-e a Trojan Linux verziójával, és a módszer nagyon egyszerű: ellenőrizze, hogy a kimenő forgalom tartalmazza-e a következő linket vagy címet: news-bbc.podzone[.] org vagy 80.248.65.183, amely a Trojan Linux verziójával kódolt parancsvezérlő szerver címe, amelyet felfedeztek. A rendszergazdák a YARA-t, egy nyílt forráskódú kártevőkutató eszközt is használhatják, hogy tanúsítványokat generáljanak, és felismerjenek, hogy tartalmazza-e az "TREX_PID=%u" vagy "Remote VS is empty!" Két húr.
|
Közzétéve 2014. 12. 20. 0:17:04
|
|
|
|
Közzétéve 2014. 12. 20. 20:04:26
Úgy érzem, az emberek most már fantasztikusak