Nyligen upptäckte säkerhetsexperter från Kaspersky och Symantec en extremt smygande Linux-spiontrojan som specialiserar sig på att stjäla känslig data från myndigheter och viktiga branscher runt om i världen.
Den senaste upptäckten av en Linux-spiontrojan är ytterligare en pusselbit i Kaspersky och Symantecs avancerade persistenta attack, Turla, som upptäcktes i augusti i år. De huvudsakliga målen för "tulanska" attacker är statliga avdelningar, ambassader och konsulat i 45 länder världen över, militära, utbildnings- och vetenskapliga forskningsinstitutioner samt läkemedelsföretag, och är den främsta avancerade ihållande attackaktiviteten i APT idag, på samma nivå som den nyligen upptäckta Regin, och är mycket lik den statliga skadliga koden som upptäckts de senaste åren, såsom Flame, Stuxnet och Duqu, och är mycket tekniskt avancerad.
Enligt Kaspersky Lab hade säkerhetsgemenskapen tidigare bara hittat "Tulan"-spiontrojanen baserad på Windows-system. Och eftersom "Tulan" använder rootkit-teknologi är det extremt svårt att upptäcka.
Avslöjandet av Linux-spiontrojanen visar att attackytan för "Tulan" även täcker Linux-systemet, liknande Windows-versionen av trojanen, Linux-versionen av "Tulan"-trojanen är mycket stealthig och kan inte upptäckas med konventionella metoder som Netstat-kommandot, och trojanen går in i systemet och förblir tyst, ibland till och med lurande i målets dator i flera år, tills angriparen skickar ett IP-paket med en specifik siffersekvens.
Efter aktivering kan Linuxversionen av Trojanen utföra godtyckliga kommandon, även utan att höja systembehörigheterna, och vilken vanlig privilegierad användare som helst kan starta den för övervakning.
Säkerhetsgemenskapen har för närvarande mycket begränsad kunskap om Linux-versionen av trojanen och dess potentiella kapaciteter, och det som är känt är att trojanen utvecklas i C- och C++-språken, innehåller nödvändig kodbas och kan fungera självständigt. Turantrojanens kod tar bort symbolisk information, vilket gör det svårt för forskare att bakåtkonstruera och genomföra djupgående forskning.
Security Niu rekommenderar att Linux-systemadministratörer för viktiga avdelningar och företag så snart som möjligt kontrollerar om de är infekterade med Linux-versionen av trojanen, och metoden är mycket enkel: kontrollera om den utgående trafiken innehåller följande länk eller adress: news-bbc.podzone[.] org eller 80.248.65.183, vilket är kommandokontrollserveradressen hårdkodad av den Linux-version av trojanen som har upptäckts. Systemadministratörer kan också använda YARA, ett öppen källkodsverktyg för skadlig kod, för att generera certifikat och upptäcka om de innehåller "TREX_PID=%u" och "Remote VS is empty!" Två strängar.
|
Publicerad på 2014-12-20 00:17:04
|
|
|
|
Publicerad på 2014-12-20 20:04:26
Jag känner att folk är fantastiska nu