По-рано този месец изследователите по сигурността откриха рядко парче шпионски софтуер за Linux. което в момента не е напълно открито във всички основни антивирусни програми и включва рядко виждана функционалност по отношение на на повечето зловредни програми, наблюдавани в Linux.
И е, че толкова много от вас трябва да знаят, че зловредният софтуер в Linux буквално малка част от случаите, които са известни в Windows, поради основната си структура и също така ниския си пазарен дял.
Различни злонамерени програми в средата на Linux се фокусират главно върху криптографията с цел финансова печалба и създаването на DDoS ботнети чрез отвличане на уязвими сървъри.
През последните години, дори след разкриването на сериозни критични уязвимости в различни видове операционни системи и софтуер Linux, хакерите не успяха да използват повечето от тях в своите атаки.
Вместо това те предпочитат да стартират добре познатите атаки за копаене на криптовалута с цел финансова печалба и създаването на DDoS ботнети чрез отвличане на уязвими сървъри.
Относно EvilGnome
Въпреки това изследователите от фирмата за сигурност Intezer Labs наскоро откриха нов имплант на зловреден софтуер, който засяга дистрибуциите на Linux, които Изглежда, че е в процес на разработка, но вече включва няколко злонамерени модула за шпиониране на потребителите на настолни компютри на Linux.
С прякор EvilGnome, този зловреден софтуер вътре от основните му функции е правенето на екранни снимки на работния плот, кражба на файлове, заснемайте аудио записи от микрофона на потребителя, както и изтегляйте и стартирайте по-злонамерени модули от втори етап.
Името се дължи към режима на работа на вируса, който той се маскира като законно продължение на средата на Gnome, за да зарази целта.
Според нов доклад, споделен от Intezer Labs, извадката на EvilGnome, която е открила във VirusTotal, също съдържа незавършена функционалност на кейлогър, което показва, че неговият разработчик го е качил онлайн по погрешка.
Процес на заразяване
Първоначално, EvilGnome предоставя саморазархивиращ се скрипт, който генерира компресиран архив на катран саморазархивиране от директория.
Има 4 различни файла, които са идентифицирани с файла,
- gnome-shell-ext - изпълнимият шпионски агент
- gnome-shell-ext.sh - проверява дали gnome-shell-ext вече работи и ако не, го изпълнява
- rtp.dat - конфигурационен файл за gnome-shell-ext
- setup.sh - скриптът за настройка, който се изпълнява сам след разопаковане
Когато анализираха шпионския агент, изследователите откриха, че системата никога не е виждала кода и че е изграден в C ++.
Изследователите откриха, че вярват, че виновниците за EvilGnome са Gamaredon Group, тъй като зловредният софтуер използва доставчик на хостинг, използващ Gamaredon Group в продължение на една година, и намери IP адрес на C2 сървър, който разрешава 2 домейни, gamework и workan.
Изследователите на Intezer те се ровят в шпионския агент и намерете пет нови модула, наречени «Shooters» Те могат да изпълняват различни дейности със съответните команди.
- ShooterSound- Заснемане на звук от потребителски микрофон и качване в C2
- ShooterImage: заснемане на екранни снимки и качване в C2
- ShooterFile: сканира файловата система за новосъздадени файлове и ги качва в C2
- ShooterPing: получава нови команди от C2
- ShooterKey: не е внедрен и неизползван, най-вероятно незавършен модул за регистриране на ключове
„Изследователите смятат, че това е преждевременна пробна версия. Очакваме в бъдеще да бъдат открити и прегледани нови версии. "
Всички модули, които са в експлоатация, криптират изходните данни. Освен това те дешифрират командите на сървъра чрез клавиш RC5 »sdg62_AS.sa $ die3«. Всеки се изпълнява със собствена нишка. Достъпът до споделени ресурси е защитен чрез взаимно изключване. Цялата програма до момента е изградена на C ++.
Засега единственият метод за защита е ръчната проверка на изпълнимия файл "gnome-shell-ext" в директорията "~ / .cache / gnome-software / gnome-shell-extensions".
Сигурни ли сте, че една от причините за по-малко вируси в GNU / Linux е неговият пазарен дял? Имате по-голямата част от уеб и пощенските сървъри? НЕ, причината е, че основните използвани програми са безплатни (можете да вземете кода, да го компилирате и разпространявате изпълнимите файлове) и безплатни, заедно с факта, че са на две щраквания от тяхното търсене и инсталиране с мениджърите на пакети, което прави странно, че някой да намирате, изтегляте и инсталирате програми от редки сайтове или трябва да търсите програми, за да ги активирате. Ето защо няма вируси, вирусът ще трябва да влезе в програма в рамките на дистрибуциите и при инсталиране на всички от едно и също място, ако човек го открие автоматично, всички го знаят и източникът на проблема се елиминира.
Нещата с квотите са лъжа, която Microsoft използва, така че хората да мислят, че преминаването към GNU / Linux няма да реши техните вирусни проблеми, тъй като би имало същото, но не е вярно, GNU / Linux е много по-малко приложим от Windows поради много причини : Не можете да стартирате програма само като я изтеглите от интернет, не можете да стартирате прикачени файлове към имейл, не можете да стартирате автоматично програми на USB стикове, само като ги вмъкнете и т.н.