Раније овог месеца истраживачи безбедности открили су ретки део Линук шпијунског софтвера. који тренутно није у потпуности откривен у свим главним антивирусима и укључује ретко виђену функционалност у вези са већини злонамерног софтвера виђеног на Линук-у.
И да ли је толико тога што многи од вас морају да знају да малвер у Линуку представља буквално мали део случајева који су познати у оперативном систему Виндовс, због своје основне структуре и ниског удела на тржишту.
Разни злонамерни програми у Линук окружењу углавном се фокусирају на криптографију ради финансијске добити и стварање ДДоС ботнет мрежа отмицом рањивих сервера.
Последњих година, чак и након откривања озбиљних критичних рањивости у различитим врстама Линук оперативних система и софтвера, хакери нису успели да искористе већину њих у својим нападима.
Уместо тога, они више воле да покрећу добро познате нападе за рударење крипто валута ради финансијске добити и стварања ДДоС ботнет мрежа отмицом рањивих сервера.
О ЕвилГному
Међутим, истраживачи из безбедносне фирме Интезер Лабс недавно су открили нови имплантат малвера који утиче на Линук дистрибуцију која Изгледа да је у фази израде, али већ укључује неколико злонамерних модула за шпијунирање корисника Линук радне површине.
Надимак ЕвилГноме, овај малвер унутра његова главна функција је прављење снимака екрана радне површине, крађа датотека, снимајте аудио снимке из корисниковог микрофона, као и преузмите и покрените више злонамерних модула друге фазе.
Име је због на режим рада вируса који маскира се као легитимно продужење окружења Гноме да зарази мету.
Према новом извештају који је Интезер Лабс поделио, узорак ЕвилГноме који је открио на ВирусТотал-у такође садржи недовршену функционалност кеилоггер-а, што указује да га је његов програмер грешком учитао на мрежу.
Процес заразе
У почетку, ЕвилГноме испоручује скрипту за самораспакирање која генерише компресовану архиву тар самораспакирање из директоријума.
Постоје 4 различите датотеке које су идентификоване са датотеком,
- гноме-схелл-ект - извршни шпијунски агент
- гноме-схелл-ект.сх - проверава да ли је гноме-схелл-ект већ покренут, а ако није, покреће га
- ртп.дат - конфигурациона датотека за гноме-схелл-ект
- сетуп.сх - скрипта за подешавање која се сама покреће након распакивања
Анализирајући шпијунског агента, истраживачи су открили да систем никада није видео код и да је изграђен у Ц ++.
Истраживачи су открили да верују да су кривци за ЕвилГноме Гамаредон Гроуп, јер је злонамерни софтвер годину дана користио добављача хостинга који користи Гамаредон Гроуп и пронашао ИП адресу Ц2 сервера која решава 2 домена, гамеворк и воркан.
Истраживачи Интезера удубљују се у шпијунског агента и пронађите пет нових модула под називом «Стрелци» Они могу обављати различите активности помоћу одговарајућих команди.
- СхоотерСоунд- Снимите звук са корисничког микрофона и отпремите на Ц2
- СхоотерИмаге: снимите снимке екрана и отпремите на Ц2
- СхоотерФиле: скенира систем датотека за новостворене датотеке и отпрема их на Ц2
- СхоотерПинг: прима нове команде од Ц2
- СхоотерКеи: није имплементиран и неискоришћен, највероватније недовршени модул за кеилоггинг
„Истраживачи верују да је ово преурањена пробна верзија. Очекујемо да ће нове верзије бити откривене и прегледане у будућности “.
Сви модули који су у раду шифрују излазне податке. Поред тога, они дешифрују наредбе сервера помоћу РЦ5 кључа »сдг62_АС.са $ дие3«. Свака се извршава са сопственом нити. Приступ заједничким ресурсима заштићен је међусобним изузећима. Читав досадашњи програм изграђен је на језику Ц ++.
За сада је једини начин заштите ручна провера извршне датотеке „гноме-схелл-ект“ у директоријуму „~ / .цацхе / гноме-софтваре / гноме-схелл-ектенсионс“.
Да ли сте сигурни да је један од разлога за мање вируса на ГНУ / Линуку његов удео на тржишту? Имате већину Веба и сервера за пошту? НЕ, разлог је тај што су главни програми који се користе бесплатни (можете узети код, компајлирати га и дистрибуирати извршне датотеке) и бесплатни, заједно са чињеницом да су на два клика од њихове претраге и инсталације код менаџера пакета, чинећи чудно је да неко пронађе, преузме и инсталира програме са ретких локација или мора да тражи програме да би их активирао. Због тога нема вируса, вирус би морао да иде у програм унутар дистрибуција, а када инсталирате све са истог места, ако га неко аутоматски открије, сви то знају и извор проблема се уклања.
Ствар у квоти је лаж коју Мицрософт користи како би људи помислили да прелазак на ГНУ / Линук не би решио њихове проблеме са вирусима јер би и они били исти, али то није тачно, ГНУ / Линук је из много разлога много мање повезан са Виндовсом : Не можете покренути програм само преузимањем са Интернета, не можете покретати прилоге е-поште, не можете аутоматски покретати програме на УСБ стицковима само уметањем итд.