전문가들은 Winnti 트로이의 리눅스 변종에 대해 이야기

몇 년 동안 중국어 해커들 사이에서 인기가 위니 백도어에 발견 된 리눅스 버전을 들고 알파벳 사이버 보안에서 크로니클 전문가.

inux 버전 백도어의이 Winnti을 적용 중국어 해커가 바이엘을 공격하는 최신 뉴스 후 발견 된 (세계 최대의 제약 회사 중 하나).

크로니클 분석가들은 VirusTotal과에서 사용 된 Linu에 좋아 변형에 Winnti에 대한 추가 연구를 수행 2015 베트남어 게임 회사에 대한 공격.

중국어 사이버 보안 그룹에서 Linux 용 "특수 도구는 거의 만난 적이있다, 그리고 이것은 놀라운 일이. HKdoor으로 역사적으로 같은 도구, Htran 및 Derusbi 또한 리눅스 버전을했다 - 말한다 실라 커틀러, 최고의 크로니클 리버스 엔지니어링.

발견 된 악성 코드는 두 부분으로 구성한다: 루트킷 즉, 감염된 호스트에 악성 코드를 숨겨, 과 뒷문 그 자체.

악성 코드의 추가 분석 리눅스 버전과 클래식의 초기 코드의 유사성을 발견 Winnti 2.0 Windows의 경우 세부 사항 "에서 전문가를 설명하는 것이카스퍼 스키 연구소"와 Novett 회사.

게다가, 되는 Windows 및 Linux 변화 비슷한 방법을 사용 관리 서버와의 통신을 위해.

또한 읽기: 취약점 "죽음의 GRO 패킷은"리눅스 커널에서 발견된다

트로이 목마가 사용하는 ICMP, HTTP 프로토콜과 같은 자신의 깨달음 TCP오 드라 제어 센터에서 모듈을 추가로 얻을 수 있습니다. 참고 전문가로, 직접 감염된 시스템에 연결할 수 또한 사이버 범죄자, Winnti 명령 서버를 사용할 수 없습니다 경우. 악성 코드 응용 프로그램의 최종 기능은 목적에 따라 달라질 수 있습니다 플러그인의 집합으로 정의된다.

Libxselinux.so 루트킷은 감염된 시스템에서 Winnti의 행동을 은폐에 대한 책임. 프로그램의 변형 된 변종 Azazel GitHub를 볼 수 있습니다 유틸리티. 스크립트 악성 코드의 주요 기능으로 문자 코드를 할당하고 트리거에서 안티 바이러스 스캐너를 방지하기 위해 요청에 대한 반응을 수정.

Winnti 개발자 Azazel에 추가 Decrypt2 복호화 구성 파일에 적용되는 연산자 Libxselinux.so 기준 치수. 그 위에, 악성 코드 제작자는 유틸리티 코드에 포함 된 유일한 포트 '및 프로세스'트로이 목마에 의해 관련된 식별자. 더욱이, 이러한 이름은 제어 센터에서의 명령 처리하는 동안 사용되는.

또한, 최근에 발견 된 악성 코드는 해커가 직접 백도어와 통신 할 수 있도록 사업자와 통신하기 위해 여분의 방법이있다, C 회피&C 서버.

연구는 리눅스 악성 코드가 거의 정부 해커의 무기고에서 만난되고 있지만 이전에 미국과 러시아 해킹 그룹이 다른 플랫폼을 무시하고 그러한 경우 맬웨어가없는 것으로 관찰되었다 있습니다.

"리눅스 도구로의 확장은 전통적인 안전 지대 이외의 반복을 나타냅니다. "이것은 의도 한 목표의 OS에 필요한 요구 사항을 표시 할 수 있습니다뿐만 아니라 많은 기업에서 보안 telemitry의 맹점을 활용하려는 시도 할 수있다, - 크로니클 전문을 체결.

출처: https://medium.com

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

Heroku가 클라우드 플랫폼에 MageCart

연구진은 여러 MageCart 웹 스키머에 Heroku가 클라우드 플랫폼 발견

Malwarebytes 연구원은 Heroku가 클라우드 플랫폼에서 여러 MageCart 웹 스키머를 찾는 것에 대해보고 …

안드로이드 스파이웨어 CallerSpy

안드로이드 채팅 응용 프로그램으로 CallerSpy 스파이웨어 마스크

트렌드 마이크로의 전문가들은 악성 코드 CallerSpy 발견, 안드로이드 채팅 응용 프로그램으로하는 마스크와, …

회신을 남겨주