최근 카스퍼스키와 시만텍의 보안 전문가들은 전 세계 정부 부처와 주요 산업에서 민감한 데이터를 훔치는 데 특화된 매우 은밀한 리눅스 스파이 트로이 목마를 발견했습니다.
최근 발견된 리눅스 스파이 트로이 목마는 올해 8월에 발견된 카스퍼스키와 시만텍의 고급 지속 공격인 Turla의 퍼즐 조각 중 하나입니다. "툴란" 공격의 주요 표적은 전 세계 45개국의 정부 부처, 대사관, 영사관, 군사, 교육 및 과학 연구 기관, 제약회사이며, 현재 APT의 최고 고급 지속 공격 활동으로, 최근 발견된 Regin과 동등한 수준이며, 최근 발견된 Flame, Stuxnet, Duqu 등 국가급 악성코드와 매우 유사하며 기술적으로 매우 정교합니다.
카스퍼스키 랩에 따르면, 보안 커뮤니티는 이전에 윈도우 시스템 기반의 '툴란' 스파이 트로이 목마만 발견한 바 있습니다. 그리고 "툴란"은 루트킷 기술을 사용하기 때문에 탐지가 매우 어렵습니다.
리눅스 스파이 트로이목마의 노출은 '툴란'의 공격 표면이 윈도우 버전의 트로이 목마와 마찬가지로 리눅스 시스템 전체를 포함한다는 것을 보여줍니다. '툴란' 트로이 목마의 리눅스 버전은 매우 은밀하여 Netstat 명령어 같은 기존의 방법으로 탐지할 수 없으며, 트로이 목마는 시스템에 침투해 침묵을 지키거나 때로는 수년간 대상 컴퓨터에 숨어 있다가 공격자가 특정 숫자 시퀀스가 포함된 IP 패킷을 보낼 때까지 숨어 있습니다.
활성화 후, 리눅스 버전의 트로이 목마는 시스템 권한을 올리지 않고도 임의의 명령을 실행할 수 있으며, 일반 권한 사용자는 모니터링을 위해 시작할 수 있습니다.
보안 커뮤니티는 현재 리눅스 버전의 트로이 목마와 잠재적 기능에 대해 매우 제한적인 지식을 가지고 있으며, 알려진 것은 트로이 목마가 C 및 C++ 언어로 개발되어 필요한 코드베이스를 포함하고 독립적으로 작동할 수 있다는 점입니다. 투란 트로이목마의 코드는 상징적 정보를 제거하여 연구자들이 역설계하고 심층 연구를 수행하기 어렵게 만듭니다.
Security Niu는 주요 부서와 기업의 리눅스 시스템 관리자들이 가능한 한 빨리 리눅스 버전의 트로이 목마에 감염되었는지 확인할 것을 권장하며, 방법은 매우 간단합니다: 발신 트래픽에 다음 링크나 주소가 있는지 확인하세요: news-bbc.podzone[.] org 또는 80.248.65.183, 발견된 트로이 목마 리눅스 버전에 의해 하드코딩된 명령 제어 서버 주소입니다. 시스템 관리자는 또한 오픈 소스 악성코드 연구 도구인 YARA를 사용하여 인증서를 생성하고 "TREX_PID=%u"와 "원격 VS가 비어 있다!"가 포함되어 있는지 감지할 수 있습니다. 두 줄.
|
게시됨 2014. 12. 20. 오전 12:17:04
|
|
|
|
게시됨 2014. 12. 20. 오후 8:04:26
지금은 사람들이 정말 대단하다고 느껴요