Chronicle eksperter fra Alfabet cybersikkerhed holder opdaget Linux-version på Winnie bagdør, der er populær blandt kinesiske hackere i mange år.
Linux-version af en bagdør blev opdaget efter en nylig nyhed, at kinesiske hackere, der anvendte Winnti angrebet Bayer (en af verdens største medicinalvirksomheder).Chronicle analytikere foretaget yderligere forskning på Winnti om VirusTotal og glad variant til Linu der blev brugt i 2015 for angreb på vietnamesiske gaming selskaber.
”Special værktøj til Linux fra kinesiske cybersikkerhed grupper er sjældent opfyldt, og det er en overraskelse. Historisk sådanne værktøjer som HKdoor, Htran og Derusbi havde også Linux-versionen - siger Silas Cutler, førende Chronicle reverse engineering.
Opdagede malware komponerer af to dele: rootkit der skjuler malware på inficerede vært, og bagdør sig selv.
Yderligere analyse af malware fundet lighed af de oprindelige koder i Linux-versionen og klassisk Winnti 2.0 Til Windows at i detaljer beskrevne eksperter fra ”Kaspersky laboratorium”og Novett Selskab.
Desuden, Windows- og Linux variationer bruger lignende metoder til kommunikation med ledelsen servere.
Læs også: ”GRO pakke af død” sårbarhed er fundet i Linux-kernen
trojanske anvendelser ICMP, HTTP protokoller og egne erkendelser som TCP og Audra at få ekstra moduler fra kontrolcentret. Som note specialister, cyberkriminelle også i stand til direkte forbindelse til inficerede system, hvis Winnti kommando-servere ikke vil være til rådighed. Endelige funktioner af malware applikationer er defineret af et sæt af plugin som kan variere efter mål.
Libxselinux.so rootkit er ansvarlig for at skjule Winnti handlinger på den inficerede maskine. Program er en ændret variant af Azazel hjælpeprogram, der er tilgængelig på GitHub. Script tildeler bogstavkoder til de vigtigste funktioner i malware og modificerer deres svar på anmodninger med henblik på at forhindre, at anti-virus scannere fra udløsning.
Winnti udviklere tilføjet i Azazel Decrypt2 operatør, der anvendes til dekryptere konfigurationsfiler af Libxselinux.so modul. i øvrigt, malware forfattere inkluderet i hjælpeprogrammet kode unikke havne og processer identifikatorer, der er involveret ved Trojan. Yderligere, disse navne bruges mens behandlingen af kommandoer fra kontrolcenter.
Derudover, for nylig opdaget malware har uudnyttet måde at kommunikere med operatører, der giver hackere kommunikere med en bagdør direkte, undgå C&C servere.
Undersøgelser bemærke, at selv om Linux-malware sjældent mødtes i det arsenal af statslige hackere og tidligere blev bemærket, at amerikanske og russiske hacking grupper ikke ignorere andre platforme og har malware for sådanne tilfælde.
”En ekspansion i Linux værktøj indikerer iteration uden for deres traditionelle komfort zone. Dette kan indikere OS kravene i deres tilsigtede mål, men det kan også være et forsøg på at drage fordel af en sikkerhed telemitry blindspot i mange virksomheder”, - konkludere Chronicle specialist.
Kilde: https://medium.com
