[Информационная безопасность, Разработка под Linux, Софт] Скрытое вредоносное ПО для бэкдора Linux обнаружили спустя три года

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
02-Май-2021 12:31

Китайское подразделение безопасности Qihoo 360 Netlab обнаружило вредоносное ПО для бэкдора Linux, которое оставалось незамеченным в течение трех лет.
Фирма сообщила, что ее система мониторинга ботов обнаружила 25 марта подозрительную программу ELF, которая взаимодействовала с четырьмя доменами управления и контроля (C2) через порт TCP HTTPS 443, хотя используемый протокол на самом деле не является TLS / SSL. «При внимательном рассмотрении образца выяснилось, что это бэкдор, нацеленный на системы Linux X64, семейство, которое существует уже не менее трех лет», — сказали исследователи Netlab Алекс Тьюринг и Хуэй Ван в своем заключении. Подпись MD5 для файла systemd-daemon впервые появилась в VirusTotal 16 мая 2018 года. Два других файла с именами systemd-daemon и gvfsd-helper обнаружили в течение следующих трех лет. Связь с systemd, широко используемым менеджером системы и сеансов для Linux, могла быть выбрана авторами программ, чтобы уменьшить вероятность того, что вредоносный код будет замечен администраторами, просматривающими журналы и списки процессов. Netlab окрестил семейство вредоносных программ RotaJakiro, потому что оно ведет себя по-разному в зависимости от того, запущено ли в учетной записи root или нет. Jakiro — это отсылка к персонажу из игры Dota 2. Вредоносная программа пытается скрыть себя с помощью нескольких алгоритмов шифрования. Она полагается на AES для защиты своих собственных ресурсов и на комбинацию AES, XOR и ротационного шифрования вместе со сжатием ZLIB, чтобы скрыть связь с сервером. Домены C2, с которыми связывается вредоносное ПО, были зарегистрированы через Web4Africa в декабре 2015 года и полагаются на хостинг, предоставленный Deltahost PTR в Киеве. Вредоносная программа не является эксплойтом; скорее, это полезная нагрузка, открывающая бэкдор на целевой машине. Она может быть установлена ничего не подозревающим пользователем, злоумышленником или через троянскую программу-дроппер. Согласно данным Netlab, RotaJakiro поддерживает 12 команд, в том числе «Украсть конфиденциальную информацию», «Загрузить информацию об устройстве», «Доставить файл / подключаемый модуль» и три варианта «Запустить подключаемый модуль». Фирма по безопасности видит некоторое сходство между RotaJakiro и ботнетом Torii, обнаруженным Avast в сентябре 2018 года.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_razrabotka_pod_linux (Разработка под Linux), #_soft (Софт), #_linux, #_vredonosy (вредоносы), #_bekdor (бэкдор), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_razrabotka_pod_linux (
Разработка под Linux
)
, #_soft (
Софт
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 16:41
Часовой пояс: UTC + 5