Experten erzählten von Linux-Variante von Winnti Trojan

Chronik Experten aus Alphabet Cyber ​​entdeckt Linux-Version auf Winnie Backdoor-Holding, die unter dem chinesischen Hacker seit vielen Jahren beliebt.

Linux-Version eines Backdoor wurde nach einer jüngsten Nachrichten entdeckt, dass chinesische Hacker, die Winnti angegriffen Bayer angewendet (einer der weltweit größten Pharmaunternehmen).

Chronik Analysten durchgeführt zusätzliche Forschung auf Winnti auf Virustotal und fond Variante für Linu, die verwendet wurde in 2015 für Angriffe auf Vietnamesisch-Gaming-Unternehmen.

„Spezialwerkzeuge für Linux von chinesischen Cyber-Gruppen werden selten erfüllt, und das ist eine Überraschung. Historisch Tools wie HKdoor, Htran und Derusbi hatte auch Linux-Version - sagt Silas Cutler, führende Chronicle Reverse-Engineering.

Entdeckt von Malware setzt sich zusammen aus zwei Teilen: rootkit dass versteckt Malware auf infizierte Wirt, und Hintertür selbst.

Eine weitere Analyse der Malware gefunden Ähnlichkeit der ursprünglichen Codes von Linux-Version und klassisch Winnti 2.0 Für Windows dass in Einzelheiten beschrieben Experten von „Kaspersky Labor" und Novett Unternehmen.

In Ergänzung, Windows- und Linux-Varianten verwenden ähnliche Verfahren für die Kommunikation mit dem Management-Server.

lesen Sie auch: „GRO Paket des Todes“ Sicherheitslücke in Linux-Kernel gefunden

Trojan Anwendungen ICMP, HTTP Protokolle und eigene Erkenntnisse als TCP und Audra zusätzliche Module von der Zentrale zu erhalten. Als Anmerkung Spezialisten, Cyber-Kriminelle auch in der Lage, direkt auf infizierte System zu verbinden, wenn Winnti Kommando-Server nicht zur Verfügung. Abschließende Funktionen der Malware-Anwendungen werden durch einen Satz von Plugins definiert, die je nach Ziel kann variieren.

libxselinux.so Rootkit ist verantwortlich für Winnti Aktionen auf dem infizierten Computer zu verbergen. Programm ist eine veränderte Variante Azazel Dienstprogramm, das auf GitHub verfügbar. Script ordnet Buchstaben-Codes zu den wichtigsten Funktionen der Malware und ändert ihre Reaktion auf Anfragen, um von den Antiviren-Scanner zu verhindern Auslösung.

Winnti Entwickler hinzugefügt in Azazel Decrypt2 Betreiber, die für die Entschlüsselung Konfigurationsdateien angewendet wird, von libxselinux.so Modul. Außerdem, Malware-Autoren, die in Dienstprogramm Code eindeutige Ports’ und Prozesse Kennungen, die von Trojan beteiligt sind. Des Weiteren, Diese Namen werden während der Verarbeitung von Befehlen von der Steuerzentrale verwendet.

zusätzlich, vor kurzem entdeckte Malware hat Ersatz Art und Weise mit den Betreibern zu kommunizieren, dass Hacker mit einer Backdoor kommunizieren direkt, Vermeidung von C&C-Server.

Researches beachten Sie, dass, obwohl Linux-Malware selten im Arsenal der staatlichen Hacker erfüllt ist, und früher wurde festgestellt, dass die amerikanischen und russischen Hacking Gruppen nicht ignorieren andere Plattformen und haben Malware für solche Fälle.

„Eine Expansion in Linux Tooling zeigt Iteration außerhalb ihrer traditionellen Komfortzone. Dies kann die OS-Anforderungen ihrer beabsichtigten Ziele angeben, es kann aber auch ein Versuch, die Vorteile eines Sicherheits telemitry blinden Fleck in vielen Unternehmen sein“, - schließen Chronicle Fach.

Quelle: https://medium.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort