Onlangs ontdekten beveiligingsexperts van Kaspersky en Symantec een extreem stealthy Linux-spionagetrojan die gespecialiseerd is in het stelen van gevoelige gegevens van overheidsinstanties en belangrijke sectoren wereldwijd.
De nieuwste ontdekking van een Linux-spionatjaans Trojaans is een ander puzzelstukje van Kaspersky en Symantec's geavanceerde persistente aanval, Turla, die in augustus van dit jaar werd ontdekt. De belangrijkste doelwitten van "Tulan"-aanvallen zijn overheidsafdelingen, ambassades en consulaten in 45 landen wereldwijd, militaire, onderwijs- en wetenschappelijke onderzoeksinstellingen, en farmaceutische bedrijven, en het is de belangrijkste geavanceerde persistente aanvalsactiviteit van APT vandaag, op hetzelfde niveau als de recent ontdekte Regin, en lijkt sterk op de staatsniveau malware die de afgelopen jaren is ontdekt, zoals Flame, Stuxnet en Duqu, en technisch zeer geavanceerd.
Volgens Kaspersky Lab had de beveiligingsgemeenschap eerder alleen de "Tulan" spionagetrojan gevonden die gebaseerd was op Windows-systemen. En omdat "Tulan" rootkit-technologie gebruikt, is het extreem moeilijk te detecteren.
De onthulling van de Linux spionagetrojan toont aan dat het aanvalsoppervlak van de "Tulan" ook het Linux-systeem bedekt, vergelijkbaar met de Windows-versie van de trojan, de Linux-versie van de "Tulan" trojan is zeer stealthy en kan niet worden gedetecteerd met conventionele methoden zoals het Netstat-commando, en de trojan het systeem binnenkomt en stil blijft, soms zelfs jarenlang op de computer van het doelwit, totdat de aanvaller een IP-pakket stuurt met een specifieke reeks cijfers.
Na activatie kan de Linux-versie van de Trojaan willekeurige commando's uitvoeren, zelfs zonder systeemrechten te verhogen, en elke gewone gebruiker met een bevoorrecht kind kan het starten voor monitoring.
De beveiligingsgemeenschap heeft momenteel zeer beperkte kennis van de Linux-versie van de Trojaan en de mogelijke mogelijkheden ervan, en wat bekend is, is dat de Trojaan is ontwikkeld in de C- en C++-talen, de benodigde codebasis bevat en onafhankelijk kan opereren. De code van de Turan Trojan verwijdert symbolische informatie, waardoor het voor onderzoekers moeilijk wordt om het te reverse-engineeren en diepgaand onderzoek uit te voeren.
Security Niu raadt aan dat Linux-systeembeheerders van belangrijke afdelingen en ondernemingen zo snel mogelijk controleren of ze geïnfecteerd zijn met de Linux-versie van de Trojaanje, en de methode is heel eenvoudig: controleer of het uitgaande verkeer de volgende link of adres bevat: news-bbc.podzone[.] org of 80.248.65.183, wat het commandocontrole-serveradres is dat hardcoded is door de Linux-versie van de Trojaanse trojaan die is ontdekt. Systeembeheerders kunnen ook YARA, een open-source malware-onderzoekstool, gebruiken om certificaten te genereren en te detecteren of deze "TREX_PID=%u" en "Remote VS is leeg" bevatten. Twee snaren.
|
Geplaatst op 20-12-2014 00:17:04
|
|
|
|
Geplaatst op 20-12-2014 20:04:26
Ik heb het gevoel dat mensen nu geweldig zijn