Novo virus para Linux
Especialistas em segurança na Avast analisaram uma nova estirpe de DDoS trojan segmentação do sistema operacional Linux XOR.DDoS dublados que incorpora um componente rootkit.
Especialistas em segurança na Avast identificaram uma nova estirpe do Linux DDoS Trojan com um rootkit built-in. Os investigadores suspeitam que um ator de ameaça está a recrutar um grande número de bots que poderiam ser aproveitados para DDoSataques.
O XOR.DDoS malwares foi relatada pela primeira vez pelo MalwareMustDie! em setembro de 2014, é considerado por especialistas únicos, uma vez que tem a capacidade de modificar suas estruturas, dependendo do sistema operacional de destino Linux.
"A infecção começa por uma tentativa de brute credenciais vigor SSH login do usuário root. Se for bem sucedido, os atacantes ganhar acesso à máquina comprometida, em seguida, instalar o Trojan geralmente através de um script shell. " escreveu o pesquisador Peter Avast Kalnai. "O roteiro contém procedimentos como, verificar, compilador principal, descomprimir, setup, gerar, upload, checkbuild, etc. e variáveis como __host_32__, __host_64__, __KERNEL__, __remote__, etc. O procedimento principal decifra e seleciona o servidor C & C baseado na arquitetura do sistema. "
Os atacantes tentaram explorar o hábito errado de usuários do Linux para usar logins padrão para serviços expostos na web, no caso específico do SSH. Uma vez que os XOR.DDoS infectou uma máquina Linux, o rootkit esconde seus componentes (arquivos e processos) para evitar a detecção.
"Além disso, temos de constatar que existe uma variante deste Trojan compilado para a arquitetura ARM", acrescentou Kalnai. "Isto sugere que a lista de sistemas potencialmente infectados (além de 32 bits e servidores web Linux de 64 bits e desktops) é prorrogada por roteadores, Internet de dispositivos Coisas, storages NAS ou servidores ARM de 32 bits (no entanto, não tem sido observada na natureza até o momento). "
Os autores de malware estão desenvolvendo um crescente número de malwares que visam sistemas baseados em Linux, novas variantes de malware são projetados especificamente para comprometer a Internet das Coisas dispositivos.
Especialistas detectado também para os XOR.DDoS malwares uma variante compilado para a arquitetura ARM .
"Além disso, temos de constatar que existe uma variante deste Trojan compilado para a arquitetura ARM. Isto sugere que a lista de sistemas potencialmente infectados (além de 32-bit e 64-bit servidores web Linux e desktops) é estendida para os roteadores, Internet de dispositivos Coisas, storages NAS ou servidores ARM de 32 bits (no entanto, não foi observada na natureza até o momento). Ele contém uma implementação adicional do download-and-executar recurso em um loop infinito chamado daemondown "
Outro aspecto interessante dos XOR.DDoS é a implementação da infra-estrutura de controle e o processo para gerenciar a botnet. O especialista notou que a comunicação entre os bots e C & C é criptografada em ambas as direções com a mesma chave XOR hard-coded (BB2FA36AAA9541F0) como o arquivo de configuração.
"A lista de C & Cs é armazenado no script shell na variável __remote__. O primeiro Trojan envia informações sobre o sistema de execução para o servidor C & C (muito provável a ser exibido em um painel de um operador de botnet). As respostas geralmente chegou na forma de um comando. ", Diz o post.
Comentários