La începutul acestei luni, cercetătorii de securitate au descoperit o bucată rară de spyware Linux care în prezent nu este detectat pe deplin în toate antivirusurile majore și include funcționalitate rar văzută în ceea ce privește la majoritatea malware-ului văzut pe Linux.
Și este că la fel de mulți dintre voi trebuie să știți că malware-ul din Linux este o mică parte din cazurile cunoscute în Windows, datorită structurii sale de bază și, de asemenea, cotei sale de piață reduse.
Diverse programe malware din mediul Linux se concentrează în principal pe criptografie pentru câștig financiar și pe crearea de botnets DDoS prin deturnarea serverelor vulnerabile.
În ultimii ani, chiar și după dezvăluirea unor vulnerabilități critice grave în diferite tipuri de sisteme de operare și software Linux, hackerii nu au reușit să-i exploateze pe cei mai mulți în atacurile lor.
În schimb, preferă să lanseze bine-cunoscutele atacuri de extragere a criptomonedelor pentru câștiguri financiare și crearea de botnets DDoS prin deturnarea serverelor vulnerabile.
Despre EvilGnome
Cu toate acestea, cercetătorii de la firma de securitate Intezer Labs au descoperit recent un nou implant malware care afectează distribuțiile Linux care Se pare că este în curs de dezvoltare, dar include deja mai multe module rău intenționate pentru a spiona utilizatorii de desktop Linux.
Poreclit EvilGnome, acest malware în interior dintre funcțiile sale principale este de a face capturi de ecran pe desktop, de a fura fișiere, capturați înregistrări audio de la microfonul utilizatorului, precum și descărcați și rulați module mai rău intenționate din a doua etapă.
Numele este datorat la modul de operare al virusului care Se maschează ca o extensie legitimă a mediului Gnome pentru a infecta ținta.
Potrivit unui nou raport pe care l-a distribuit Intezer Labs, eșantionul EvilGnome pe care l-a descoperit pe VirusTotal conține, de asemenea, funcționalitate de keylogger nefinisată, indicând faptul că dezvoltatorul său a încărcat-o online din greșeală.
Procesul de infectare
inițial, EvilGnome oferă un script auto-extras creat de el însuși, care generează o arhivă de gudron comprimată auto-extragere dintr-un director.
Există 4 fișiere diferite care sunt identificate cu fișierul,
- gnome-shell-ext - agentul de spionaj executabil
- gnome-shell-ext.sh - verifică dacă gnome-shell-ext rulează deja și, dacă nu, îl rulează
- rtp.dat - fișier de configurare pentru gnome-shell-ext
- setup.sh - scriptul de configurare care rulează singur după despachetare
Când au analizat agentul de spionaj, cercetătorii au descoperit că sistemul nu a văzut niciodată codul și că acesta a fost construit în C ++.
Cercetătorii au descoperit că cred că vinovații din spatele EvilGnome sunt Gamaredon Group, deoarece malware-ul a folosit un furnizor de găzduire folosind Gamaredon Group timp de un an și a găsit o adresă IP a serverului C2 care rezolvă 2 domenii, joc și workan.
Cercetătorii Intezer se adâncesc în agentul spion și găsiți cinci module noi numite «Shooters» Ei pot efectua diferite activități cu comenzile respective.
- ShooterSound- Capturați sunetul de la microfonul utilizatorului și încărcați-l pe C2
- ShooterImage: capturați capturi de ecran și încărcați în C2
- ShooterFile: scanează sistemul de fișiere pentru fișierele nou create și le încarcă în C2
- ShooterPing: primește noi comenzi de la C2
- ShooterKey: neimplementat și neutilizat, cel mai probabil un modul de keylogging neterminat
„Cercetătorii cred că aceasta este o versiune de proces prematură. Anticipăm că noile versiuni vor fi descoperite și revizuite în viitor. "
Toate modulele care sunt în funcțiune criptează datele de ieșire. În plus, ei decriptează comenzile serverului printr-o cheie RC5 »sdg62_AS.sa $ die3«. Fiecare este executat cu propriul fir. Accesul la resursele partajate este protejat prin excluderi reciproce. Întregul program până acum a fost construit în C ++.
Deocamdată, singura metodă de protecție este să verificați manual executabilul „gnome-shell-ext” în directorul „~ / .cache / gnome-software / gnome-shell-extensions”.
Sunteți sigur că un motiv pentru mai puțini viruși pe GNU / Linux este cota sa de piață? Aveți majoritatea serverelor web și de mail? NU, motivul este că principalele programe utilizate sunt gratuite (puteți prelua codul, îl puteți compila și distribui executabilele) și gratuite, împreună cu faptul că sunt la două clicuri distanță de căutarea și instalarea lor cu managerii de pachete, făcând este ciudat că cineva găsește, descarcă și instalează programe de pe site-uri rare sau trebuie să caute programe pentru a le activa. De aceea nu există viruși, virusul ar trebui să meargă într-un program în cadrul distribuțiilor și, atunci când se instalează toată lumea din același loc, dacă cineva îl descoperă automat, toată lumea îl știe și sursa problemei este eliminată.
Problema cu cota este o minciună pe care Microsoft o folosește, astfel încât oamenii să creadă că schimbarea la GNU / Linux nu le-ar rezolva problemele legate de virus, deoarece ar exista aceleași, dar nu este adevărat, GNU / Linux este mult mai puțin atașabil decât Windows din multe motive : Nu puteți rula un program doar descărcându-l de pe internet, nu puteți rula atașamente de e-mail, nu puteți rula automat programe pe stick-uri USB doar inserându-le etc.