Chronicle eksperter fra Alphabet Cybersecurity holder oppdaget Linux versjon på Winnie bakdør som er populære blant kinesiske hackere i mange år.
Linux-versjon av en bakdør ble oppdaget etter en nylig nyheten om at kinesiske hackere som gjaldt Winnti angrepet Bayer (en av verdens største farmasøytiske selskaper).Chronicle analytikere gjennomført ytterligere forskning på Winnti på Virustotal og glad variant for Linu som ble brukt i 2015 for angrep på vietnamesiske spillselskaper.
“Spesialverktøy for Linux fra kinesiske Cybersecurity grupper er sjelden oppfylt, og dette er en overraskelse. Historisk slike verktøy som HKdoor, Htran og Derusbi hadde også Linux-versjon - sier Silas Cutler, ledende Chronicle omvendt utvikling.
Oppdaget malware komponerer av to deler: rootkit som skjuler malware på infiserte verts, Og bakdør seg selv.
Videre analyse av skadelig funnet likheten mellom første koder for Linux-versjon og klassisk Winnti 2.0 for Windows som i detaljer beskrevet eksperter fra “Kaspersky laboratorium”og Novett selskap.
I tillegg, Windows- og Linux-varianter bruke lignende fremgangsmåter for kommunikasjon med styrings servere.
Les også: “GRO pakke of death” sårbarhet er funnet i Linux-kjernen
Trojan bruksområder ICMP, HTTP protokoller og egne erkjennelser som TCP Og Audra for å få ekstra moduler fra kontrollsenteret. Som note spesialister, webkriminelle også i stand til direkte å koble til infiserte systemet, hvis Winnti kommando servere ikke vil være tilgjengelig. Endelige funksjoner av skadelig applikasjoner er definert ved et sett av programtillegg som kan variere avhengig av mål.
Libxselinux.so rootkit er ansvarlig for å skjule Winnti handlinger på den infiserte maskinen. Program er en endret variant av Azazel verktøy som er tilgjengelig på GitHub. Script tildeler bokstavkoder til de viktigste funksjoner av den skadelige og modifiserer deres respons på forespørsler for å hindre at anti-virusprogrammer utløser.
Winnti utviklerne lagt i Azazel Decrypt2 operatør som er søkt om dekryptere konfigurasjonsfiler av Libxselinux.so modul. Dess, malware forfattere inkludert i verktøyet kode unike porter og prosesser identifikatorer som er involvert ved Trojan. Lengre, disse navnene er brukt, mens behandling av kommandoer fra styresenteret.
Dess, nylig oppdaget malware har ledig måte å kommunisere med operatører som gjør at hackere kommunisere med en bakdør direkte, unngår C&C-servere.
Forskere oppmerksom på at selv om Linux-malware er sjelden oppfylt i arsenal av statlige hackere og tidligere ble bemerket at amerikanske og russiske hacking grupper ikke ignorere andre plattformer og har malware for slike tilfeller.
“En utvidelse til Linux verktøy indikerer køyring utenfor sin tradisjonelle komfortsone. Dette kan tyde på OS kravene til sine tiltenkte mål, men det kan også være et forsøk på å dra nytte av en sikkerhets telemitry blind i mange bedrifter”, - konkludere Chronicle spesialist.
Kilde: https://medium.com
