Son zamanlarda, Kaspersky ve Symantec'ten güvenlik uzmanları, hükümet dairelerinden ve önemli sektörlerden hassas verileri çalmaya uzmanlaşmış son derece gizli bir Linux casus Trojan keşfetti.
En son Linux casus Trojan keşfi, Kaspersky ve Symantec'in gelişmiş kalıcı saldırısı Turla'nın bir parçası; bu saldırı bu yıl Ağustos ayında keşfedildi. "Tulan" saldırılarının ana hedefleri, dünya genelinde 45 ülkedeki devlet daireleri, büyükelçilikler ve konsolosluklar, askeri, eğitim ve bilimsel araştırma kurumları ile ilaç şirketleridir; günümüzde APT'nin en ileri sürekli saldırı faaliyetidir; yakın zamanda keşfedilen Regin ile aynı seviyededir ve son yıllarda keşfedilen Flame, Stuxnet ve Duku gibi devlet düzeyindeki zararlı yazılımlara çok benziyor ve teknik olarak son derece gelişmiştir.
Kaspersky Lab'e göre, güvenlik topluluğu daha önce sadece Windows sistemlerine dayalı "Tulan" casus Trojan bulmuştu. Ve "Tulan" rootkit teknolojisi kullandığı için tespit etmek son derece zordur.
Linux casus Trojan ortaya çıkması, "Tulan"ın saldırı yüzeyinin aynı zamanda Linux sistemini de kapsadığını gösteriyor; bu, Trojan'ın Windows versiyonuna benzer şekilde, "Tulan" Trojan'ın Linux versiyonu oldukça gizlidir ve Netstat komutu gibi geleneksel yöntemlerle tespit edilemez; Trojan sisteme girer ve bazen yıllarca sessiz kalır, hatta yıllarca hedef bilgisayarda saklanır; ta ki saldırgan belirli bir numara dizisi içeren bir IP paketi gönderene kadar.
Aktivasyondan sonra, Linux versiyonu sistem ayrıcalıklarını artırmadan bile istediği komutları çalıştırabilir ve sıradan ayrıcalıklı herhangi bir kullanıcı izleme için programı başlatabilir.
Güvenlik topluluğu şu anda Trojan Linux versiyonu ve potansiyel yetenekleri hakkında çok sınırlı bilgiye sahiptir ve bilinen şey Trojan'ın C ve C++ dillerinde geliştirildiği, gerekli kod tabanını içerdiği ve bağımsız çalışabildiğidir. Turan Trojanası kodu, sembolik bilgileri kaldırıyor ve araştırmacıların derinlemesine araştırma yapmasını ve tersine mühendislik yapmasını zorlaştırıyor.
Security Niu, önemli departmanlar ve işletmelerin Linux sistem yöneticilerinin, Trojan sürümünün Linux versiyonuna enfekte olup olmadıklarını mümkün olan en kısa sürede kontrol etmelerini önerir ve yöntem çok basittir: giden trafikte aşağıdaki bağlantı veya adresi olup olmadığını kontrol et: news-bbc.podzone[.] org veya 80.248.65.183, yani keşfedilen Trojan Linux versiyonu tarafından sert kodlanmış komut kontrol sunucusu adresidir. Sistem yöneticileri ayrıca sertifikalar oluşturmak ve "TREX_PID=%u" ile "Remote VS boş!" içerip içermediğini tespit etmek için açık kaynaklı bir kötü amaçlı yazılım araştırma aracı olan YARA'yı kullanabilir. İki tel.
|
Yayınlandı 20.12.2014 00:17:04
|
|
|
|
Yayınlandı 20.12.2014 20:04:26
İnsanların şimdi harika olduğunu hissediyorum