especialistas Chronicle do alfabeto cibersegurança segurando versão descoberto Linux em Winnie backdoor que é popular entre os hackers chineses para muitos anos.
euinux-versão de um backdoor foi descoberto depois de uma notícia recente de que hackers chineses que se aplicavam Winnti atacou Bayer (uma das maiores empresas farmacêuticas do mundo).analistas Chronicle realizou uma pesquisa adicional sobre Winnti no VirusTotal e variante Apaixonado por Linu que foi usado no 2015 para ataques a empresas de jogos vietnamitas.
“ferramentas especiais para Linux de grupos de segurança cibernética chineses raramente são cumpridos, e isso é uma surpresa. Historicamente ferramentas como HKdoor, Htran e Derusbi também teve Linux versão - diz Silas Cutler, levando Crónica engenharia reversa.
malwares descoberto compõe de duas partes: rootkit que esconde malware no hospedeiro infectado, e Porta dos fundos se.
Uma análise mais aprofundada de malware encontrado semelhança de códigos iniciais do Linux-versão e clássico Winnti 2.0 Para Windows que, em detalhes descrito especialistas de “laboratório Kaspersky”e Novett companhia.
além do que, além do mais, variações Windows e Linux usar métodos similares para comunicação com servidores de gerenciamento.
Leia também: “Pacote GRO da morte” vulnerabilidade é encontrada no kernel do Linux
usos de Tróia ICMP, HTTP protocolos e realizações próprias como TCP e Audra para obter módulos adicionais do centro de controle. Como especialistas de notas, cibercriminosos também capazes de se conectar diretamente ao sistema infectado, se os servidores de comando Winnti não estarão disponíveis. funções de aplicações finais maliciosos são definidos por um conjunto de encaixes que podem variar em função objectivo.
Libxselinux.so rootkit é responsável por esconder as ações de Winnti na máquina infectada. Programa é uma variante alterada de Azazel utilitário que está disponível no GitHub. Script atribui códigos de letras para as principais funções do malware e modifica a sua resposta a pedidos, a fim de evitar que os scanners anti-vírus de desencadear.
desenvolvedores Winnti adicionado em Azazel Decrypt2 operador que é aplicado para arquivos de configuração decrypt de Libxselinux.so módulo. Além disso, os autores de malware incluído no código de utilidade portas exclusivas e processos dos identificadores que são envolvidos por Trojan. Mais distante, estes nomes são usados durante o processamento de comandos a partir do centro de controle.
Além disso, malwares recentemente descoberto tem caminho livre para se comunicar com os operadores que permite que hackers se comunicar com um backdoor diretamente, evitando C&servidores C.
Pesquisas notar que, embora Linux-malware é raramente conheceu no arsenal de hackers governamentais e anteriormente foi notado que os grupos de hackers americanos e russos não ignorar outras plataformas e têm malware para esses casos.
“Uma expansão em Linux ferramentas indica iteração fora de sua zona de conforto tradicional. Isso pode indicar os requisitos mínimos de seus alvos, mas também pode ser uma tentativa de tirar proveito de um ponto cego telemitry de segurança em muitas empresas”, - concluir especialista Chronicle.
Fonte: https://medium.com
