Začiatkom tohto mesiaca objavili vedci v oblasti bezpečnosti vzácny kúsok linuxového spywaru. ktorý v súčasnosti nie je úplne zistený vo všetkých hlavných antivírusoch a obsahuje zriedka videnú funkcionalitu ohľadne na väčšinu malvéru videného v systéme Linux.
A je to tak, ako mnohí z vás musia vedieť, že malware v systéme Linux predstavuje pre svoju základnú štruktúru a tiež nízky podiel na trhu doslova malý zlomok prípadov známych v systéme Windows.
Rôzne škodlivé programy v prostredí Linux sa zameriavajú hlavne na kryptografiu kvôli finančnému zisku a vytváranie DDoS botnetov únosom zraniteľných serverov.
V posledných rokoch, ani po odhalení závažných kritických chýb v rôznych druhoch operačných systémov a softvéru Linux, sa hackerom nepodarilo väčšinu z nich pri svojich útokoch zneužiť.
Namiesto toho radšej uskutočňujú známe útoky na ťažbu kryptomeny kvôli finančnému zisku a vytvoreniu DDoS botnetov únosom zraniteľných serverov.
O spoločnosti EvilGnome
Vedci z bezpečnostnej firmy Intezer Labs však nedávno objavili nový implantát škodlivého softvéru, ktorý ovplyvňuje distribúcie Linuxu Zdá sa, že je vo vývoji, ale už obsahuje niekoľko škodlivých modulov určených na špehovanie používateľov počítačov so systémom Linux.
Prezývaný EvilGnome, tento malware vo vnútri Medzi jeho hlavné funkcie patrí vytváranie snímok obrazovky počítača, kradnutie súborov, snímajte zvukové záznamy z mikrofónu používateľa, ako aj sťahujte a spúšťajte škodlivejšie moduly druhej fázy.
Meno je splatné do prevádzkového režimu vírusu, ktorý maskuje sa ako legitímne rozšírenie prostredia Gnome na infikovanie cieľa.
Podľa novej správy zdieľanej spoločnosťou Intezer Labs obsahuje vzorka EvilGnome, ktorú objavila na VirusTotal, tiež nedokončenú funkcionalitu keyloggeru, čo naznačuje, že jej vývojár ju omylom nahral online.
Proces infekcie
spočiatku, EvilGnome dodáva samorozbaľovací skript, ktorý generuje komprimovaný archív tar samorozbaľovací z adresára.
Existujú 4 rôzne súbory, ktoré sú identifikované so súborom,
- gnome-shell-ext - spustiteľný agent špióna
- gnome-shell-ext.sh - skontroluje, či už beží gnome-shell-ext, a ak nie, spustí ho
- rtp.dat - konfiguračný súbor pre gnome-shell-ext
- setup.sh - inštalačný skript, ktorý sa po rozbalení spustí sám
Pri analýze špionážneho agenta vedci zistili, že systém nikdy nevidel kód a že bol zabudovaný v C ++.
Vedci zistili, že domnievajú, že vinníkmi spoločnosti EvilGnome sú skupina Gamaredon Group, pretože malware rok používal poskytovateľa hostingu pomocou skupiny Gamaredon Group a našiel IP adresu servera C2, ktorá rozlišuje 2 domény, prácu a prácu.
Vedci Intezer vnoria sa do špiónskeho agenta a nájdite päť nových modulov s názvom «Strieľačky» S príslušnými príkazmi môžu vykonávať rôzne činnosti.
- ShooterSound- Zachyťte zvuk z mikrofónu používateľa a nahrajte ho na C2
- Obrázok strelca: snímajte screenshoty a nahrávajte na C2
- Súbor Shooter: prehľadá súborový systém pre novo vytvorené súbory a nahrá ich do C2
- ShooterPing: prijíma nové príkazy od C2
- Kľúč strelca: neimplementované a nepoužívané, s najväčšou pravdepodobnosťou nedokončený modul keyloggingu
„Vedci sa domnievajú, že ide o predčasnú skúšobnú verziu. Očakávame, že nové verzie budú objavené a preskúmané v budúcnosti. “
Všetky prevádzkované moduly šifrujú výstupné údaje. Okrem toho dešifrujú príkazy servera pomocou kľúča RC5 »sdg62_AS.sa $ die3«. Každý z nich je vykonávaný so svojim vlastným vláknom. Prístup k zdieľaným zdrojom je chránený prostredníctvom vzájomných vylúčení. Celý doterajší program bol zostavený v C ++.
Zatiaľ je jedinou metódou ochrany ručná kontrola spustiteľného súboru „gnome-shell-ext“ v adresári „~ / .cache / gnome-software / gnome-shell-extensions“.
Ste si istý, že jedným z dôvodov menšieho množstva vírusov v systéme GNU / Linux je jeho podiel na trhu? Máte väčšinu webových a poštových serverov? NIE, dôvod je ten, že hlavné použité programy sú bezplatné (môžete si vziať kód, skompilovať ho a distribuovať spustiteľné súbory) a bezplatné, spojené so skutočnosťou, že sú vzdialené dva kliknutia od ich vyhľadávania a inštalácie so správcami balíkov, takže je čudné, že niekto vyhľadajte, stiahnite a nainštalujte programy zo zriedkavých serverov alebo ich musíte vyhľadať, aby ste ich aktivovali. Preto neexistujú žiadne vírusy, vírus by musel ísť do programu v rámci distribúcií a pri inštalácii všetkých z rovnakého miesta, ak by ich človek objavil automaticky, všetci to vedia a zdroj problému je eliminovaný.
Kvóta je lož, ktorú Microsoft používa na to, aby si ľudia mysleli, že prechod na GNU / Linux by nevyriešil ich problémy s vírusmi, pretože by to bolo rovnaké, ale nie je to pravda, GNU / Linux je z mnohých dôvodov oveľa menej pripútateľný ako Windows. : Program nemôžete spustiť iba stiahnutím z internetu, nemôžete spustiť e-mailové prílohy, nemôžete automaticky spustiť programy na USB kľúčoch iba ich vložením atď.