EvilGnome, шинэ хортой програм тагнуул хийж, Линукс хэрэглэгчдэд арын хаалга тавьдаг

Энэ сарын эхээр аюулгүй байдлын судлаачид Линуксийн ховор тохиолддог тагнуулын програмыг олж илрүүлжээ нь одоогоор бүх томоохон антивирусуудад бүрэн илрээгүй байгаа ба холбоотой ховор тохиолддог функцийг багтаасан болно Линукс дээр үзсэн ихэнх үзүүлж чадахгүй програмуудад.

Линукс дахь хортой програмууд нь үндсэн бүтэц, мөн зах зээлд эзлэх хувь бага байдгаас шалтгаалан Windows-д байдаг тохиолдлуудын өчүүхэн хэсэг гэдгийг мэддэг байх ёстой.

Линуксийн орчин дахь янз бүрийн хортой програмууд нь ихэвчлэн санхүүгийн ашиг олохын тулд криптографид анхаарлаа хандуулж, эмзэг серверүүдийг хулгайлах замаар DDoS botnets үүсгэдэг.

Сүүлийн жилүүдэд Линуксийн үйлдлийн систем, програм хангамжийн янз бүрийн ноцтой эмзэг байдлыг илчилсний дараа ч хакерууд дийлэнх хэсгийг халдлагадаа ашиглаж чадаагүй юм.

Үүний оронд тэд санхүүгийн ашиг олох, DDoS botnets бий болгох зорилгоор эмзэг серверүүдийг хулгайлах замаар олны танил болсон криптовалют олборлолтыг эхлүүлэхийг илүүд үздэг.

EvilGnome-ийн тухай

Гэсэн хэдий ч аюулгүй байдлын Intezer Labs пүүсийн судлаачид саяхан Линуксийн тархалтад нөлөөлдөг шинэ хортой програм суулгасан болохыг олж мэдэв боловсруулагдаж байгаа бололтой, гэхдээ үүнд Linux ширээний хэрэглэгчдийг тагнах зорилгоор хэд хэдэн хортой модулиудыг оруулсан болно.

EvilGnome хочтой, дотор нь энэ хортой програм Үүний үндсэн функцууд нь ширээний дэлгэцийн агшин, файл хулгайлах явдал юм, хэрэглэгчийн микрофоны аудио бичлэгийг авах, түүнчлэн хортой хоёр дахь шатны модулийг татаж ажиллуулах.

Нэр нь дуусах ёстой вирусын ажиллах горимд энэ нь Gnome орчныг хууль ёсны өргөтгөл болгож хувиргаж, зорилтот бүлэгт халдах болно.

Intezer Labs нь VirusTotal дээрээс олж илрүүлсэн EvilGnome дээжийг хуваалцсан гэсэн шинэ тайланд дурдсанаар түүний хөгжүүлэгчид алдаатай онлайнаар байршуулсан болохыг харуулж байгаа дуусаагүй keylogger функцийг агуулсан болно.

Халдварын явц

Эхний ээлжинд EvilGnome нь шахсан tar архивыг үүсгэдэг өөрөө задлах скриптийг хүргэдэг лавлахаас өөрөө задлах.

Файлтай танигдсан 4 өөр файл байдаг,

  • gnome-shell-ext - гүйцэтгэх тагнуулын агент
  • gnome-shell-ext.sh - gnome-shell-ext аль хэдийн ажиллаж байгаа эсэхийг шалгана, үгүй ​​бол ажиллуулна.
  • rtp.dat - gnome-shell-ext-ийн тохиргооны файл
  • setup.sh - задалсны дараа өөрөө ажилладаг тохиргооны скрипт

Тагнуулч агент дээр дүн шинжилгээ хийхдээ судлаачид уг системийг хэзээ ч харж байгаагүй бөгөөд C ++ дээр бүтээсэн болохыг олж тогтоожээ.

Судлаачид EvilGnome-ийн буруутан нь Gamaredon Group гэж үзэж байгаа тул хортой програм Gamaredon Group-ийг ашиглан нэг жилийн хугацаанд хостинг үйлчилгээ үзүүлэгч ашиглаж, 2 домэйн, тоглоомын болон ажлын байрны асуудлыг шийддэг C2 серверийн IP хаягийг олсон байна.

Интезер судлаачид тагнуулын төлөөлөгчдөд нэвтэрч, «Shooters» нэртэй таван шинэ модулийг хайж олох Тэд тус тусын тушаалаар янз бүрийн үйл ажиллагааг гүйцэтгэх боломжтой.

  • ShooterSound- Хэрэглэгчийн микрофоноос дуу ав, C2 дээр байршуулна уу
  • ShooterImage: дэлгэцийн агшинг татаж C2 дээр байршуулах
  • ShooterFile: файлын системийг шинээр үүсгэсэн файлуудыг шалгаж, C2 дээр байршуулна
  • ShooterPing: C2-ээс шинэ тушаал хүлээн авдаг
  • ShooterKey: хэрэгжүүлээгүй, ашиглагдаагүй байгаа бөгөөд дуусаагүй түлхүүр бичлэг хийх модуль байж магадгүй юм

“Судлаачид үүнийг эрт туршилтын хувилбар гэж үзэж байна. Ирээдүйд шинэ хувилбаруудыг олж, хянан үзэх болно гэж бид таамаглаж байна. "

Ажиллаж байгаа бүх модулиуд гаралтын өгөгдлийг шифрлэдэг. Цаашилбал, тэд "sdg5_AS.sa $ die62«. Тус бүрийг өөрийн утсаар гүйцэтгэдэг. Хамтарсан нөөцөд нэвтрэх боломжийг харилцан үгүйсгэх замаар хамгаалдаг. Одоогийн байдлаар програмыг бүхэлд нь C ++ дээр бүтээсэн.

Одоогийн байдлаар цорын ганц хамгаалалтын арга бол "~ / .cache / gnome-software / gnome-shell-extensions" директор дахь "gnome-shell-ext" програмыг гараар шалгах явдал юм.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

2 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   Guillermo гэж хэлэв

    GNU / Linux дээр цөөн тооны вирусын шалтгаан нь түүний зах зээлд эзлэх хувь гэдэгт итгэлтэй байна уу? Ихэнх вэб, мэйлийн серверүүдтэй юу? ҮГҮЙ, шалтгаан нь ашиглагдаж буй гол програмууд үнэгүй (та кодыг авч, хөрвүүлж, гүйцэтгэх боломжтой файлуудыг тарааж болно), үнэгүй бөгөөд багц менежерүүдтэй хайлт, суулгалтаас хоёр товшилтын зайтай байгаатай холбоотой юм. Хэн нэгэн хачин сайтуудаас програм хайж, татаж, суулгаж эсвэл идэвхжүүлэхийн тулд програм хайх хэрэгтэй байгаа нь хачин юм. Тиймээс вирус байдаггүй тул вирус нь түгээлтийн доторх програмаар явах ёстой бөгөөд хүн бүрийг нэг газраас суулгаж байх үед автоматаар олж мэдвэл бүгд үүнийг мэдэж, асуудлын эх үүсвэр устгагдана.

  2.   Guillermo гэж хэлэв

    Квотын зүйл бол Microsoft нь GNU / Linux руу шилжсэнээр вирусын асуудал шийдэгдэхгүй гэж бодож байгаа тул энэ нь үнэн байх болно, гэхдээ GNU / Linux нь олон шалтгаанаар Windows-той харьцуулахад хавьгүй бага байдаг. : Та програмыг зөвхөн интернетээс татаж авах, имэйлийн хавсралтыг ажиллуулах, USB зөөгч дээр програм оруулах гэх мэт програмуудыг ажиллуулах боломжгүй гэх мэт.