Chronicle deskundigen van Alphabet cybersecurity houden ontdekt Linux versie op Winnie backdoor dat is populair onder Chinese hackers voor vele jaren.
Linux-versie van een backdoor werd ontdekt na een recente nieuws dat Chinese hackers die Winnti toegepast aangevallen Bayer (één van 's werelds grootste farmaceutische bedrijven).Chronicle analisten uitgevoerd aanvullend onderzoek Winnti op VirusTotal en fond variant voor Linu die werd gebruikt in 2015 voor aanvallen op Vietnamese gaming bedrijven.
“Speciaal gereedschap voor Linux uit Chinese cyberveiligheid groepen worden zelden gehaald, en dit is een verrassing. Historisch gezien dergelijke hulpmiddelen zoals HKdoor, Htran en Derusbi had ook Linux-versie - zegt Silas Cutler, leidende Chronicle reverse-engineeren.
Ontdekte malware stelt uit twee delen: rootkit dat verbergt malware op geïnfecteerde gastheer, En achterdeur zelf.
Verdere analyse van malware gevonden gelijkenis van de eerste codes van de Linux-versie en klassieke Winnti 2.0 Voor ramen dat in detail beschreven deskundigen uit “Kaspersky laboratorium”en Novett bedrijf.
In aanvulling op, Windows- en Linux-varianten maken gebruik van soortgelijke methoden voor de communicatie met het management servers.
Lees ook: “GRO packet of death” kwetsbaarheid is gevonden in Linux kernel
Trojan toepassingen ICMP, HTTP protocollen en eigen gegevens als TCP En Audra om extra modules te krijgen van het controlecentrum. Zoals note specialisten, cybercriminelen ook in staat om direct verbinding te geïnfecteerd systeem, Als Winnti command servers niet beschikbaar zal zijn. Laatste functies malware toepassingen worden gedefinieerd door een set van plugins die variabel doelstelling.
Libxselinux.so rootkit is verantwoordelijk voor het verbergen van de acties Winnti op de geïnfecteerde machine. Programma is een gewijzigde variant van Azazel hulpprogramma dat beschikbaar is op GitHub. Script wijst letter codes om de belangrijkste functies van de malware en wijzigt hun reactie op verzoeken om te voorkomen dat de anti-virus scanners uit triggering.
Winnti ontwikkelaars toegevoegd Azazel Decrypt2 operator die wordt toegepast voor het decoderen configuratiebestanden van Libxselinux.so module. Bovendien, malware auteurs opgenomen in hulpprogramma code uniek in havens en processen identifiers die betrokken zijn bij Trojan. Verder, Deze namen worden gebruikt tijdens de verwerking van de commando's van de treindienstleiding.
Daarnaast, recent ontdekte malware heeft extra manier om te communiceren met de exploitanten die het mogelijk maakt hackers communiceren met een backdoor direct, het vermijden van C&C-servers.
Onderzoeken er rekening mee dat, hoewel Linux-malware zelden wordt voldaan in het arsenaal van de overheid hackers en eerder werd opgemerkt dat de Amerikaanse en Russische hacken groepen niet andere platforms negeren en hebben malware voor dergelijke gevallen.
“Een uitbreiding naar Linux tooling geeft iteratie buiten hun traditionele comfort zone. Dit kan duiden op het OS eisen van hun beoogde doelstellingen, maar het kan ook een poging om te profiteren van een security telemitry blindspot nemen in veel bedrijven zijn”, - concluderen Chronicle specialist.
Bron: https://medium.com
