Tidligere på måneden opdagede sikkerhedsforskere et sjældent stykke Linux-spyware. som i øjeblikket ikke er fuldt opdaget af alle større antivirus og omfatter funktioner, der sjældent er set med hensyn til til det meste af malware set på Linux.
Og det er, som mange af jer skal vide, at malware i Linux bogstaveligt talt er en lille brøkdel af de tilfælde, der er kendt i Windows, på grund af dens grundlæggende struktur og også dens lave markedsandel.
Adskillige ondsindede programmer i Linux-miljøet er hovedsageligt fokuseret på kryptografi for økonomisk vinding og skabelse af DDoS-botnets ved at kapre sårbare servere.
I de senere år, selv efter afsløringen af alvorlige kritiske sårbarheder i forskellige typer Linux-operativsystemer og -software, har hackere undladt at udnytte de fleste af dem i deres angreb.
I stedet foretrækker de at lancere de velkendte cryptocurrency-mineangreb for økonomisk vinding og skabe DDoS-botnets ved at kapre sårbare servere.
Om EvilGnome
Men forskere fra sikkerhedsfirmaet Intezer Labs opdagede for nylig et nyt malware-implantat, der påvirker Linux-distributioner Det ser ud til at være under udvikling, men det indeholder allerede flere ondsindede moduler til at spionere på Linux-desktopbrugere.
Kaldenavnet EvilGnome, denne malware indeni af dets hovedfunktioner er at tage skrivebordsskærmbilleder, stjæle filer, optag lydoptagelser fra brugerens mikrofon, samt download og eksekver flere ondsindede moduler i anden fase.
Navnet skal være til virussens virkemåde, der udgiver sig som en legitim forlængelse af Gnome-miljøet for at inficere målet.
Ifølge en ny rapport delte Intezer Labs EvilGnome-eksemplet, som det opdagede på VirusTotal, indeholder også ufærdig keylogger-funktionalitet, hvilket indikerer, at dets udvikler uploadede det online ved en fejl.
infektionsproces
I første omgang, EvilGnome leverer et selvudpakkende script oprettet med sig selv, der genererer en komprimeret tar-fil selvudpakning fra en mappe.
Der er 4 forskellige filer, der identificeres af filen,
- gnome-shell-ext – den eksekverbare spionagent
- gnome-shell-ext.sh – kontrollerer, om gnome-shell-ext allerede kører og kører det, hvis ikke
- rtp.dat – konfigurationsfil for gnome-shell-ext
- setup.sh – opsætningsscriptet, der kører sig selv efter udpakning
Ved at analysere spionagenten fandt forskerne ud af, at systemet aldrig havde set koden, og at den var bygget i C++.
Forskere fandt ud af, at de mener, at synderne bag EvilGnome er Gamaredon Group, da malwaren brugte en hostingudbyder, som Gamaredon Group bruger i et år, og fandt en C2-server IP-adresse, der løses til 2 domæner, gamework og workan.
Intezer-forskerne dykke ned i spionagenten og find fem nye moduler kaldet "Shooters" De kan udføre forskellige aktiviteter med de respektive kommandoer.
- ShooterLyd: optager lyden fra brugerens mikrofon og uploader den til C2
- ShooterImage: tag skærmbilleder og upload til C2
- ShooterFile: scanner filsystemet for nyoprettede filer og uploader dem til C2
- ShooterPing: modtager nye kommandoer fra C2
- ShooterKey: uimplementeret og ubrugt, højst sandsynligt et ufærdigt keylogging-modul
"Forskere mener, at dette er en for tidlig prøveversion. Vi forventer, at nye versioner vil blive opdaget og gennemgået i fremtiden."
Alle moduler, der er i drift, krypterer outputdataene. Ydermere dekrypterer de serverkommandoer via en RC5-nøgle "sdg62_AS.sa $die3". Hver enkelt udføres med sin egen tråd. Adgang til delte ressourcer er beskyttet gennem gensidige udelukkelser. Hele programmet indtil videre er bygget i C++.
Indtil videre er den eneste beskyttelsesmetode manuelt at kontrollere " gnome-shell-ext " eksekverbar i mappen "~/.cache/gnome-software/gnome-shell-extensions".
Er du sikker på, at en årsag til færre vira på GNU/Linux er dens markedsandel? Har du flest web- og mailservere? NEJ, grunden er, at de vigtigste programmer, der bruges, er gratis (du kan tage koden, kompilere den og distribuere de eksekverbare filer) og gratis, kombineret med det faktum, at de er to klik væk fra at søge og installere dem med pakkeadministratorer, hvilket gør det sjældent, at nogen søger, downloader og installerer programmer fra fremmede websteder eller skal søge efter programmer for at aktivere dem. Derfor er der ingen vira, virussen skal ind i et program i distributionerne, og ved at installere alle fra samme sted, hvis man opdager det automatisk ved alle det, og kilden til problemet er elimineret.
Kvote-tinget er en løgn, som Microsoft bruger, så folk tror, at skift til GNU/Linux ikke ville løse deres virusproblemer, fordi der ville være de samme, men det er ikke sandt, GNU/Linux er meget mindre angribeligt end Windows af mange grunde: du kan ikke køre et program bare ved at downloade det fra internettet, du kan ikke køre e-mail-vedhæftede filer, du kan ikke køre programmer automatisk i flashdrev, osv.