Tidligere denne måneden oppdaget sikkerhetsforskere et sjeldent stykke Linux-spionprogramvare som foreløpig ikke er oppdaget fullt ut i alle større antivirusprogrammer og inkluderer sjelden sett funksjonalitet angående til det meste av skadelig programvare som er sett på Linux.
Og er det at så mange av dere burde vite at malware i Linux bokstavelig talt er en liten brøkdel av tilfellene som er kjent i Windows, på grunn av dens grunnleggende struktur og også den lave markedsandelen.
Ulike ondsinnede programmer i Linux-miljøet fokuserer hovedsakelig på kryptografi for økonomisk gevinst og på å lage DDoS-botnett ved å kapre sårbare servere.
De siste årene, selv etter avsløringen av alvorlige kritiske sårbarheter i forskjellige typer Linux-operativsystemer og programvare, klarte ikke hackere å utnytte de fleste av dem i angrepene sine.
I stedet foretrekker de å lansere de velkjente kryptovaluta-gruvedriftene for økonomisk gevinst og opprettelse av DDoS-botnett ved å kapre sårbare servere.
Om EvilGnome
Imidlertid oppdaget forskere ved sikkerhetsfirmaet Intezer Labs nylig et nytt malwareimplantat som påvirker Linux-distribusjoner som Det ser ut til å være under utvikling, men det inneholder allerede flere ondsinnede moduler for å spionere på Linux-stasjonære brukere.
Kallenavnet EvilGnome, denne skadelige programvaren inne av hovedfunksjonene er å ta skjermbilder på skrivebordet, stjele filer, ta lydopptak fra brukerens mikrofon, samt last ned og kjør flere ondsinnede andre trinns moduler.
Navnet skyldes til driftsmodus for viruset som det skjuler seg som en legitim utvidelse av Gnome-miljøet for å infisere målet.
I følge en ny rapport som Intezer Labs delte, inneholder EvilGnome-prøven den oppdaget på VirusTotal også uferdig keylogger-funksjonalitet, noe som indikerer at utvikleren lastet den opp online ved en feiltakelse.
Infeksjonsprosess
utgangspunktet, EvilGnome leverer et selvutpakkende skript opprettet av seg selv som genererer et komprimert tjærearkiv selvutpakkende fra en katalog.
Det er fire forskjellige filer som er identifisert med filen,
- gnome-shell-ext - den kjørbare spionagenten
- gnome-shell-ext.sh - sjekker om gnome-shell-ext allerede kjører, og hvis ikke, kjører den
- rtp.dat - konfigurasjonsfil for gnome-shell-ext
- setup.sh - installeringsskriptet som kjører av seg selv etter utpakking
Da de analyserte spionagenten, oppdaget forskerne at systemet aldri hadde sett koden og at den ble bygget i C ++.
Forskere oppdaget at de tror at synderne bak EvilGnome er Gamaredon Group, da skadelig programvare brukte en vertsleverandør som brukte Gamaredon Group i et år, og fant en C2-server IP-adresse som løser to domener, gamework og workan.
Intezer-forskerne fordype deg i spionagenten og finn fem nye moduler kalt «Shooters» De kan utføre forskjellige aktiviteter med de respektive kommandoene.
- ShooterLyd- Ta opp lyd fra brukermikrofonen og last opp til C2
- ShooterBilde: ta skjermbilder og last opp til C2
- ShooterFile: skanner filsystemet for nyopprettede filer og laster dem opp til C2
- ShooterPing: mottar nye kommandoer fra C2
- ShooterKey: uimplementert og ubrukt, mest sannsynlig en uferdig nøkkelloggingsmodul
”Forskerne mener dette er en for tidlig prøveversjon. Vi forventer at nye versjoner vil bli oppdaget og gjennomgå i fremtiden. "
Alle moduler som er i drift, krypterer utdataene. I tillegg dekrypterer de serverkommandoer gjennom en RC5-nøkkel »sdg62_AS.sa $ die3«. Hver og en blir henrettet med sin egen tråd. Tilgang til delte ressurser er beskyttet gjennom gjensidige utelukkelser. Hele programmet så langt ble bygget i C ++.
Foreløpig er den eneste beskyttelsesmetoden manuelt å sjekke "gnome-shell-ext" -kjørbar i katalogen "~ / .cache / gnome-software / gnome-shell-extensions".
Er du sikker på at en årsak til færre virus på GNU / Linux er markedsandelen? Har du det meste av nett- og e-postserverne? NEI, årsaken er at de viktigste programmene som brukes er gratis (du kan ta koden, kompilere den og distribuere kjørbare filer) og gratis, kombinert med det faktum at de er to klikk unna deres søk og installasjon med pakkeforvalterne, noe som gjør det er rart at noen finner, laster ned og installerer programmer fra sjeldne nettsteder eller må søke etter programmer for å aktivere dem. Det er derfor det ikke er virus, viruset må gå i et program innen distribusjonene, og når man installerer alle fra samme sted, hvis man oppdager det automatisk, vet alle det og kilden til problemet blir eliminert.
Kvote-tingen er en løgn som Microsoft bruker, slik at folk tror at å bytte til GNU / Linux ikke ville løse virusproblemene deres fordi det ville være det samme, men det er ikke sant, GNU / Linux er mye mindre festbart enn Windows av mange grunner : Du kan ikke kjøre et program bare ved å laste det ned fra internett, du kan ikke kjøre e-postvedlegg, du kan ikke kjøre programmer automatisk på USB-pinner bare ved å sette dem inn osv.