本月早些時候,安全研究人員發現了一種罕見的 Linux 間諜軟件。 目前所有主要防病毒軟件均未完全檢測到該病毒 包括很少見的功能 Linux 上出現的大多數惡意軟件。
你們中的許多人都必須知道,由於 Linux 的基本結構和較低的市場份額,Linux 中的惡意軟件實際上只是 Windows 中已知案例的一小部分。
Linux環境中的一些惡意程序主要針對加密貨幣以獲取經濟利益,並通過劫持易受攻擊的服務器來創建DDoS殭屍網絡。
近年來,即使各種類型的Linux操作系統和軟件中存在嚴重的關鍵漏洞被披露,黑客也未能在攻擊中利用其中的大部分漏洞。
相反,他們更願意發起眾所周知的加密貨幣挖礦攻擊以獲取經濟利益,並通過劫持易受攻擊的服務器來創建 DDoS 殭屍網絡。
關於 EvilGnome
然而,安全公司 Intezer Labs 的研究人員最近發現了一種影響 Linux 發行版的新惡意軟件植入程序, 它似乎正在開發中,但它已經包含了幾個用於監視 Linux 桌面用戶的惡意模塊。
暱稱“邪惡侏儒”, 裡面有這個惡意軟件 其主要功能是桌面截圖、竊取文件,從用戶的麥克風捕獲錄音,以及下載和執行更多第二階段的惡意模塊。
名稱必須是 病毒的運作方式 偽裝成 Gnome 環境的合法擴展以感染目標。
根據一份新報告,Intezer Labs 分享了它在 VirusTotal 上發現的 EvilGnome 樣本,該樣本還包含未完成的鍵盤記錄功能,表明其開發人員錯誤地將其上傳到網上。
感染過程
最初, EvilGnome 提供了一個自行創建的自解壓腳本,可生成壓縮的 tar 文件 從目錄中自解壓。
由文件標識有4個不同的文件,
- gnome-shell-ext – 可執行間諜代理
- gnome-shell-ext.sh – 檢查 gnome-shell-ext 是否已在運行,如果沒有則運行它
- rtp.dat – gnome-shell-ext 的配置文件
- setup.sh – 解壓後自行運行的安裝腳本
通過分析間諜代理,研究人員發現該系統從未見過代碼,並且是用 C++ 構建的。
研究人員發現,他們認為EvilGnome 背後的罪魁禍首是Gamaredon Group,因為該惡意軟件使用了Gamaredon Group 使用了一年的託管提供商,並發現了一個可解析為2 個域(gamework 和workan)的C2 服務器IP 地址。
Intezer研究人員 深入研究間諜並 找到五個名為“射手”的新模塊 他們可以使用各自的命令執行不同的活動。
- 射手之聲:從用戶麥克風捕獲音頻並將其上傳到C2
- 射手圖片: 截圖並上傳至C2
- 射手檔案: 掃描文件系統以查找新創建的文件並將其上傳到 C2
- 射手平: 接收來自C2的新命令
- 射手鍵: 未實現和未使用,很可能是未完成的鍵盤記錄模塊
“研究人員認為這是一個不成熟的試驗版本。 我們預計未來將會發現並審查新版本。”
所有正在運行的模塊都會對輸出數據進行加密。 此外,他們還通過 RC5 密鑰“sdg62_AS.sa $die3”解密服務器命令。 每個都用自己的線程執行。 通過互斥保護對共享資源的訪問。 到目前為止,整個程序都是用 C++ 構建的。
目前,唯一的保護方法是手動檢查“~/.cache/gnome-software/gnome-shell-extensions”目錄中的“gnome-shell-ext”可執行文件。
您確定 GNU/Linux 上病毒較少的原因之一是它的市場份額嗎? 擁有最多的網絡和郵件服務器? 不,原因是使用的主要程序是免費的(您可以獲取代碼,編譯它並分發可執行文件)並且免費,而且只需單擊兩次即可使用包管理器搜索和安裝它們,這使得很少有人從奇怪的網站查找、下載和安裝程序,或者必須搜索程序來激活它們。 這就是為什麼沒有病毒,病毒必須進入發行版中的程序,並且通過從同一個地方安裝每個人,如果有人自動發現它,每個人都知道它,並且問題的根源就被消除了。
配額問題是微軟用來讓人們認為切換到GNU/Linux 並不能解決他們的病毒問題的謊言,因為會有相同的問題,但事實並非如此,對於許多人來說,GNU/Linux 比Windows 更不易受到攻擊。原因:您無法僅通過從互聯網下載程序來運行程序,無法運行電子郵件附件,無法僅通過插入閃存驅動器來自動運行程序,等等。