[Информационная безопасность, Разработка под Linux, Софт] Скрытое вредоносное ПО для бэкдора Linux обнаружили спустя три года
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Китайское подразделение безопасности Qihoo 360 Netlab обнаружило вредоносное ПО для бэкдора Linux, которое оставалось незамеченным в течение трех лет. 
Фирма сообщила, что ее система мониторинга ботов обнаружила 25 марта подозрительную программу ELF, которая взаимодействовала с четырьмя доменами управления и контроля (C2) через порт TCP HTTPS 443, хотя используемый протокол на самом деле не является TLS / SSL. «При внимательном рассмотрении образца выяснилось, что это бэкдор, нацеленный на системы Linux X64, семейство, которое существует уже не менее трех лет», — сказали исследователи Netlab Алекс Тьюринг и Хуэй Ван в своем заключении. Подпись MD5 для файла systemd-daemon впервые появилась в VirusTotal 16 мая 2018 года. Два других файла с именами systemd-daemon и gvfsd-helper обнаружили в течение следующих трех лет. Связь с systemd, широко используемым менеджером системы и сеансов для Linux, могла быть выбрана авторами программ, чтобы уменьшить вероятность того, что вредоносный код будет замечен администраторами, просматривающими журналы и списки процессов. Netlab окрестил семейство вредоносных программ RotaJakiro, потому что оно ведет себя по-разному в зависимости от того, запущено ли в учетной записи root или нет. Jakiro — это отсылка к персонажу из игры Dota 2. Вредоносная программа пытается скрыть себя с помощью нескольких алгоритмов шифрования. Она полагается на AES для защиты своих собственных ресурсов и на комбинацию AES, XOR и ротационного шифрования вместе со сжатием ZLIB, чтобы скрыть связь с сервером. Домены C2, с которыми связывается вредоносное ПО, были зарегистрированы через Web4Africa в декабре 2015 года и полагаются на хостинг, предоставленный Deltahost PTR в Киеве. Вредоносная программа не является эксплойтом; скорее, это полезная нагрузка, открывающая бэкдор на целевой машине. Она может быть установлена ничего не подозревающим пользователем, злоумышленником или через троянскую программу-дроппер. Согласно данным Netlab, RotaJakiro поддерживает 12 команд, в том числе «Украсть конфиденциальную информацию», «Загрузить информацию об устройстве», «Доставить файл / подключаемый модуль» и три варианта «Запустить подключаемый модуль». Фирма по безопасности видит некоторое сходство между RotaJakiro и ботнетом Torii, обнаруженным Avast в сентябре 2018 года.
===========
Источник:
habr.com
===========
Похожие новости:
- [Программирование, Софт] Особенности разработки на мейнфреймах
- Первый тестовый выпуск дистрибутива Rocky Linux, идущего на смену CentOS
- [Информационная безопасность, Сетевые технологии, IT-стандарты] New IP — следующий этап развития Интернета или ужесточение контроля над пользователями
- [JavaScript, Программирование] Человеко-читаемый JavaScript: история о двух экспертах (перевод)
- [Настройка Linux, Системное администрирование] Ubuntu 16.04: Получаем обновления безопасности после окончания основной поддержки
- [Opera, *nix, Сетевые технологии, Браузеры, Софт] Открытые клиенты Hola VPN и Opera VPN
- [Разработка под Linux] Как теперь процессить kernel crash и bug report? Или несколько слов о разнице между интересным и удивительным
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, Читальный зал, Лайфхаки для гиков] Как крупное кредитное бюро Experian 5 лет зарабатывает на уязвимости в своей системе (перевод)
- [Информационная безопасность, Карьера в IT-индустрии] Как начать карьеру в системной интеграции без опыта: «Ростелеком-Солар» приглашает на стажировку
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_razrabotka_pod_linux (Разработка под Linux), #_soft (Софт), #_linux, #_vredonosy (вредоносы), #_bekdor (бэкдор), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_razrabotka_pod_linux (
Разработка под Linux
), #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 09:56
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Китайское подразделение безопасности Qihoo 360 Netlab обнаружило вредоносное ПО для бэкдора Linux, которое оставалось незамеченным в течение трех лет.  Фирма сообщила, что ее система мониторинга ботов обнаружила 25 марта подозрительную программу ELF, которая взаимодействовала с четырьмя доменами управления и контроля (C2) через порт TCP HTTPS 443, хотя используемый протокол на самом деле не является TLS / SSL. «При внимательном рассмотрении образца выяснилось, что это бэкдор, нацеленный на системы Linux X64, семейство, которое существует уже не менее трех лет», — сказали исследователи Netlab Алекс Тьюринг и Хуэй Ван в своем заключении. Подпись MD5 для файла systemd-daemon впервые появилась в VirusTotal 16 мая 2018 года. Два других файла с именами systemd-daemon и gvfsd-helper обнаружили в течение следующих трех лет. Связь с systemd, широко используемым менеджером системы и сеансов для Linux, могла быть выбрана авторами программ, чтобы уменьшить вероятность того, что вредоносный код будет замечен администраторами, просматривающими журналы и списки процессов. Netlab окрестил семейство вредоносных программ RotaJakiro, потому что оно ведет себя по-разному в зависимости от того, запущено ли в учетной записи root или нет. Jakiro — это отсылка к персонажу из игры Dota 2. Вредоносная программа пытается скрыть себя с помощью нескольких алгоритмов шифрования. Она полагается на AES для защиты своих собственных ресурсов и на комбинацию AES, XOR и ротационного шифрования вместе со сжатием ZLIB, чтобы скрыть связь с сервером. Домены C2, с которыми связывается вредоносное ПО, были зарегистрированы через Web4Africa в декабре 2015 года и полагаются на хостинг, предоставленный Deltahost PTR в Киеве. Вредоносная программа не является эксплойтом; скорее, это полезная нагрузка, открывающая бэкдор на целевой машине. Она может быть установлена ничего не подозревающим пользователем, злоумышленником или через троянскую программу-дроппер. Согласно данным Netlab, RotaJakiro поддерживает 12 команд, в том числе «Украсть конфиденциальную информацию», «Загрузить информацию об устройстве», «Доставить файл / подключаемый модуль» и три варианта «Запустить подключаемый модуль». Фирма по безопасности видит некоторое сходство между RotaJakiro и ботнетом Torii, обнаруженным Avast в сентябре 2018 года. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_razrabotka_pod_linux ( Разработка под Linux ), #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 09:56
Часовой пояс: UTC + 5