本月初,安全研究人员发现了一种罕见的Linux间谍软件。 目前尚未在所有主要的防病毒软件中完全检测到 包含有关以下方面的罕见功能 到Linux上看到的大多数恶意软件。
正是因为你们的许多人必须知道,Linux的恶意软件由于其基本结构以及较低的市场份额,实际上仅是Windows已知案件的一小部分。
Linux环境中的各种恶意程序主要关注加密,以牟取经济利益,并通过劫持易受攻击的服务器来创建DDoS僵尸网络。
近年来,即使在各种类型的Linux操作系统和软件中都显示出严重的严重漏洞之后,黑客仍无法在攻击中利用其中的大多数漏洞。
相反,他们更喜欢通过劫持易受攻击的服务器来发动众所周知的加密货币挖矿攻击,以获取经济利益并创建DDoS僵尸网络。
关于EvilGnome
但是,安全公司Intezer Labs的研究人员最近发现了一种新的恶意软件植入物,该植入物会影响Linux发行版, 它似乎正在开发中,但是它已经包含了几个恶意模块以监视Linux桌面用户。
绰号EvilGnome, 里面的这个恶意软件 它的主要功能是获取桌面屏幕截图,窃取文件,从用户的麦克风捕获录音,以及下载并运行更多恶意的第二阶段模块。
这个名字是由于 到病毒的运行方式 它伪装成Gnome环境的合法扩展来感染目标。
根据Intezer Labs共享的一份新报告,它在VirusTotal上发现的EvilGnome示例还包含未完成的键盘记录程序功能,表明其开发人员错误地将其在线上传。
感染过程
最初, EvilGnome提供了一个自解压缩脚本,该脚本生成压缩的tar存档 从目录中自解压。
该文件标识了4个不同的文件,
- gnome-shell-ext-可执行的间谍代理
- gnome-shell-ext.sh-检查gnome-shell-ext是否已在运行,如果未运行,则运行它
- rtp.dat-gnome-shell-ext的配置文件
- setup.sh-解压缩后自行运行的安装脚本
在分析间谍代理时,研究人员发现该系统从未看到过该代码,并且它是用C ++构建的。
研究人员发现,他们认为EvilGnome背后的罪魁祸首是Gamaredon Group,因为该恶意软件使用托管服务提供商使用Gamaredon Group长达一年,并发现了一个C2服务器IP地址,该IP地址可解析两个域,即游戏和workan。
Intezer研究人员 他们钻探间谍特工, 找到五个名为“射击者”的新模块 他们可以使用相应的命令执行不同的活动。
- 射手之声-从用户麦克风捕获音频并上传到C2
- ShooterImage: 捕获屏幕截图并上传到C2
- ShooterFile: 扫描文件系统以查找新创建的文件,并将其上传到C2
- ShooterPing: 从C2接收新命令
- ShooterKey: 未实现和未使用,很可能是未完成的按键记录模块
研究人员认为这是一个过早的试用版。 我们希望将来会发现并审查新版本。”
运行中的所有模块都对输出数据进行加密。 此外,它们还通过RC5密钥»sdg62_AS.sa $ die3«解密服务器命令。 每个线程都有自己的线程执行。 通过互斥保护对共享资源的访问。 到目前为止,整个程序都是用C ++构建的。
目前,唯一的保护方法是手动检查“〜/ .cache / gnome-software / gnome-shell-extensions”目录中的“ gnome-shell-ext”可执行文件。
您确定在GNU / Linux上减少病毒的原因之一是其市场份额吗? 拥有大多数的网络和邮件服务器? 否,原因是所使用的主要程序是免费的(您可以获取代码,对其进行编译并分发可执行文件)和免费的,并且与通过软件包管理器进行搜索和安装只需单击两次即可,奇怪的是,有人从稀有站点找到,下载并安装程序,或者不得不搜索程序来激活它们。 这就是为什么没有病毒的原因,该病毒必须放入发行版中的程序中,并且当从同一位置安装每个人时,如果一个人自动发现它,则每个人都知道它,并且消除了问题根源。
配额问题是微软使用的一种谎言,因此人们认为更改为GNU / Linux不会解决他们的病毒问题,因为会存在相同的问题,但事实并非如此,由于许多原因,GNU / Linux与Windows的连接性较差:您不能仅通过从互联网下载程序来运行程序,不能运行电子邮件附件,不能仅通过插入USB记忆棒来自动运行程序,等等。