Ranije ovog mjeseca istraživači sigurnosti otkrili su rijedak komad Linux špijunskog softvera što trenutno nije u potpunosti otkriveno u svim glavnim antivirusima i uključuje rijetko viđenu funkcionalnost u vezi za većinu zlonamjernog softvera viđenog na Linuxu.
I to je tako da mnogi od vas moraju znati da zlonamjerni softver u Linuxu predstavlja doslovno mali dio slučajeva koji su poznati u sustavu Windows, zbog svoje osnovne strukture i niskog udjela na tržištu.
Razni zlonamerni programi u Linux okruženju uglavnom se usredsređuju na kriptografiju radi finansijske dobiti i na stvaranje DDoS botnet mreža otmicom ranjivih servera.
Posljednjih godina, čak i nakon otkrivanja ozbiljnih kritičnih ranjivosti u različitim vrstama Linux operativnih sistema i softvera, hakeri nisu uspjeli iskoristiti većinu njih u svojim napadima.
Umjesto toga, oni radije pokreću već poznate napade rudarenja kripto valuta radi financijske dobiti i stvaranja DDoS botnet mreža otmicom ranjivih servera.
O EvilGnomu
Međutim, istraživači iz sigurnosne firme Intezer Labs nedavno su otkrili novi implantat malware-a koji utječe na Linux distribuciju koja Čini se da je u fazi izrade, ali već uključuje nekoliko zlonamjernih modula za špijuniranje korisnika Linux radne površine.
Nadimak EvilGnome, ovaj zlonamjerni softver iznutra njegova glavna funkcija je pravljenje snimaka ekrana radne površine, krađa datoteka, snimajte audio snimke iz korisnikovog mikrofona, kao i preuzmite i pokrenite više zlonamernih modula druge faze.
Ime je zbog na način rada virusa koji maskira se kao legitimno proširenje Gnomovog okruženja da zarazi metu.
Prema novom izvještaju da je Intezer Labs podijelio uzorak EvilGnomea koji je otkrio na VirusTotal-u, također sadrži nedovršenu funkcionalnost keyloggera, što ukazuje da ga je njegov programer greškom učitao na mrežu.
Proces zaraze
U početku, EvilGnome isporučuje samoraspakirajuću skriptu koja generira komprimiranu tar arhivu samoraspakiranje iz direktorija.
Postoje 4 različite datoteke koje su identificirane sa datotekom,
- gnome-shell-ext - izvršni špijunski agent
- gnome-shell-ext.sh - provjerava je li gnome-shell-ext već pokrenut, a ako nije, pokreće ga
- rtp.dat - konfiguracijska datoteka za gnome-shell-ext
- setup.sh - skripta za postavljanje koja se sama pokreće nakon raspakiranja
Analizirajući špijunskog agenta, istraživači su otkrili da sistem nikada nije vidio kôd i da je ugrađen u C ++.
Istraživači su otkrili da vjeruju da su krivci za EvilGnome Gamaredon Group jer je zlonamjerni softver godinu dana koristio dobavljača hostinga koji koristi Gamaredon Group i pronašao IP adresu C2 servera koja rješava 2 domene, gamework i workan.
Istraživači Intezera udubljuju se u špijunskog agenta i pronaći pet novih modula pod nazivom «Shooters» Oni mogu izvoditi različite aktivnosti s odgovarajućim naredbama.
- ShooterSound- Snimite zvuk iz korisničkog mikrofona i prenesite na C2
- ShooterImage: snimite snimke ekrana i otpremite na C2
- ShooterFile: skenira sistem datoteka za novostvorene datoteke i prebacuje ih na C2
- ShooterPing: prima nove naredbe od C2
- ShooterKey: nije implementiran i neiskorišten, najvjerojatnije nedovršeni modul za keylogging
„Istraživači vjeruju da je ovo preuranjena probna verzija. Očekujemo da će nove verzije biti otkrivene i pregledane u budućnosti. "
Svi moduli koji su u radu šifriraju izlazne podatke. Uz to, šifriraju naredbe poslužitelja putem RC5 ključa »sdg62_AS.sa $ die3«. Svaka se izvršava sa vlastitom niti. Pristup zajedničkim resursima zaštićen je međusobnim izuzećima. Cjelokupni program do sada je izgrađen na C ++.
Za sada je jedina metoda zaštite ručna provjera izvršne datoteke "gnome-shell-ext" u direktoriju "~ / .cache / gnome-software / gnome-shell-extensions".
Jeste li sigurni da je jedan od razloga za manje virusa na GNU / Linuxu njegov udio na tržištu? Imate većinu web i mail servera? NE, razlog je taj što su glavni korišteni programi besplatni (možete uzeti kod, kompajlirati ga i distribuirati izvršne datoteke) i besplatni, zajedno s činjenicom da su udaljeni dva klika od pretraživanja i instalacije s upraviteljima paketa, što čini neobičnim da neko pronađite, preuzmite i instalirajte programe sa rijetkih web lokacija ili morate tražiti programe da biste ih aktivirali. Zbog toga nema virusa, virus bi morao ići u program unutar distribucija, a prilikom instaliranja svih s istog mjesta, ako ga netko automatski otkrije, svi to znaju i izvor problema se uklanja.
Stvar u kvoti je laž koju Microsoft koristi kako bi ljudi mislili da promjena u GNU / Linux ne bi riješila njihove probleme s virusima jer bi i njih bilo isto, ali nije istina, GNU / Linux je iz mnogo razloga mnogo manje dostupan od Windowsa : Ne možete pokrenuti program samo preuzimanjem s Interneta, ne možete pokretati priloge e-pošte, ne možete automatski pokretati programe na USB stickovima samo umetanjem itd.