EvilGnome, 새로운 멀웨어 스파이 및 Linux 사용자에게 백도어 제공

이달 초 보안 연구원이 희귀 한 Linux 스파이웨어를 발견했습니다. 현재 모든 주요 바이러스 백신에서 완전히 탐지되지는 않으며 거의 볼 수없는 기능 포함 Linux에서 볼 수있는 대부분의 맬웨어에.

Linux의 맬웨어는 기본 구조와 낮은 시장 점유율로 인해 말 그대로 Windows에서 알려진 사례의 극히 일부라는 사실을 알고 있어야합니다.

Linux 환경의 다양한 악성 프로그램은 주로 재정적 이득을위한 암호화에 중점을두고 취약한 서버를 탈취하여 DDoS 봇넷을 생성합니다.

최근 몇 년 동안 다양한 유형의 Linux 운영 체제 및 소프트웨어에서 심각한 심각한 취약점이 발견 된 후에도 해커는 공격에서 대부분의 취약점을 악용하지 못했습니다.

대신 그들은 재정적 이득을 위해 잘 알려진 암호 화폐 채굴 공격을 시작하고 취약한 서버를 하이재킹하여 DDoS 봇넷을 생성하는 것을 선호합니다.

EvilGnome 정보

그러나 보안 회사 Intezer Labs의 연구원들은 최근 Linux 배포판에 영향을 미치는 새로운 악성 코드 이식을 발견했습니다. 개발중인 것으로 보이지만 이미 Linux 데스크톱 사용자를 감시하는 여러 악성 모듈이 포함되어 있습니다.

별명 EvilGnome, 이 맬웨어 내부 주요 기능 중 하나는 데스크탑 스크린 샷을 찍고 파일을 훔치는 것입니다., 사용자의 마이크에서 오디오 녹음을 캡처하고 더 많은 악성 XNUMX 단계 모듈을 다운로드하여 실행합니다.

이름은 기한이다 바이러스의 작동 모드로 대상을 감염시키기 위해 Gnome 환경의 합법적 인 확장으로 가장합니다.

Intezer Labs가 VirusTotal에서 발견 한 EvilGnome 샘플을 공유했다는 새로운 보고서에 따르면 개발자가 실수로 온라인에 업로드했음을 나타내는 미완성 키로거 기능도 포함되어 있습니다.

감염 과정

처음에는 EvilGnome은 압축 된 tar 아카이브를 생성하는 자체적으로 생성 된 자동 압축 풀기 스크립트를 제공합니다. 디렉토리에서 자동 압축 해제.

파일로 식별되는 4 개의 다른 파일이 있습니다.

  • gnome-shell-ext-실행 가능한 스파이 에이전트
  • gnome-shell-ext.sh-gnome-shell-ext가 이미 실행 중인지 확인하고 그렇지 않은 경우 실행합니다.
  • rtp.dat-gnome-shell-ext 용 구성 파일
  • setup.sh-압축을 푼 후 자체적으로 실행되는 설정 스크립트

스파이 에이전트를 분석 할 때 연구원들은 시스템이 코드를 본 적이 없으며 C ++로 빌드되었음을 발견했습니다.

연구원들은 악성 코드가 2 년 동안 Gamaredon Group을 사용하여 호스팅 제공 업체를 사용하고 2 개의 도메인, 게임 작업 및 작업을 해결하는 CXNUMX 서버 IP 주소를 발견함에 따라 EvilGnome의 범인이 Gamaredon Group이라고 믿고 있음을 발견했습니다.

Intezer 연구원 그들은 스파이 요원을 조사하고 «Shooters»라는 XNUMX 개의 새로운 모듈을 찾습니다. 각 명령을 사용하여 다양한 활동을 수행 할 수 있습니다.

  • 슈터 사운드-사용자 마이크에서 오디오를 캡처하여 C2에 업로드
  • ShooterImage : 스크린 샷 캡처 및 C2에 업로드
  • ShooterFile : 파일 시스템에서 새로 생성 된 파일을 검색하고 C2에 업로드합니다.
  • ShooterPing : C2에서 새 명령을받습니다.
  • ShooterKey : 미구현 및 미사용, 대부분 미완성 키 로깅 모듈

“연구자들은 이것이 조기 평가판이라고 생각합니다. 앞으로 새로운 버전이 발견되고 검토 될 것으로 기대합니다. "

작동중인 모든 모듈이 출력 데이터를 암호화합니다.. 또한 RC5 키»sdg62_AS.sa $ die3«를 통해 서버 명령을 해독합니다. 각각은 자체 스레드로 실행됩니다. 공유 리소스에 대한 액세스는 상호 배제를 통해 보호됩니다.. 지금까지 전체 프로그램은 C ++로 빌드되었습니다.

현재 유일한 보호 방법은 "~ / .cache / gnome-software / gnome-shell-extensions"디렉토리에있는 "gnome-shell-ext"실행 파일을 수동으로 확인하는 것입니다.


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

2 코멘트, 당신의 것을 남겨주세요

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   길레

    GNU / Linux에서 바이러스가 적은 이유 중 하나가 시장 점유율 때문이라고 확신하십니까? 대부분의 웹 및 메일 서버가 있습니까? 아니요, 그 이유는 사용되는 주요 프로그램이 무료이며 (코드를 가져 와서 컴파일하고 실행 파일을 배포 할 수 있음) 무료이며 패키지 관리자를 사용하여 검색 및 설치에서 두 번의 클릭으로 수행 할 수 있다는 사실과 함께 누군가 이상한 사이트에서 프로그램을 찾아서 다운로드하고 설치하거나 활성화하기 위해 프로그램을 검색해야하는 것은 이상합니다. 그렇기 때문에 바이러스가 없기 때문에 바이러스는 배포판 내의 프로그램에 들어가야하며 같은 장소에서 모든 사람을 설치할 때 자동으로 발견되면 모두가 알고 문제의 원인을 제거합니다.

  2.   길레

    할당량이란 마이크로 소프트가 사용하는 거짓말이기 때문에 사람들이 GNU / 리눅스로 변경하면 바이러스 문제가 해결되지 않는다고 생각합니다. 똑같은 문제가 있기 때문입니다.하지만 사실이 아닙니다. GNU / 리눅스는 여러 가지 이유로 Windows보다 훨씬 덜 부착 할 수 있습니다. : 인터넷에서 다운로드만으로 프로그램을 실행할 수없고, 이메일 첨부 파일을 실행할 수없고, USB 스틱에 삽입하는 것만으로 프로그램을 자동 실행할 수 없습니다.