安全廠商Dr.Web公司的研究人員們表示:一種以Linux系統(tǒng)為目標(biāo)的新型木馬已然現(xiàn)身,并被證實(shí)同多種惡意活動有所牽連。被命名為Linux.BackDoor.Xunpes.1的新型威脅已然現(xiàn)身,研究人員發(fā)現(xiàn)其中包含一套病毒釋放器外加一個后門——而該后門已經(jīng)被用于在 大量受感染設(shè)備上執(zhí)行間諜活動。病毒釋放器利用Lazarus構(gòu)建而成——Lazarus是一套面向Free Pascal編譯器的免費(fèi)跨平臺IDE,而且其中自帶有后門,Dr.Web在一篇博文當(dāng)中解釋稱。
該后門以未加密形式被保存在病毒釋放器本體當(dāng)中,并會在病毒釋放器啟動之后被進(jìn)一步存儲于/tmp/.ltmp/文件夾內(nèi),研究人員們解釋稱。他們同時警告稱,作為木馬中的第二項(xiàng)組件,這一后門正是幫助惡意軟件執(zhí)行主要惡意功能的罪魁禍?zhǔn)住?/p>
一旦感染成功,該多用型木馬將能夠執(zhí)行多種操作,包括將文件下載至受感染設(shè)備、針對文件對象實(shí)施不同操作、記錄截屏信息以及鍵盤輸入內(nèi)容等等。
在該后門被啟動之后,它會利用自身內(nèi)置的一套硬編碼密鑰對其配置文件進(jìn)行加密,而配置文件內(nèi)則包含一份命令與控制服務(wù)器(簡稱C&C服務(wù)器)以及代理服務(wù)器地址列表,外加其它一些實(shí)現(xiàn)正常運(yùn)作的必要信息。接下來,該木馬會與C&C服務(wù)器之間建立連接,并等待來自網(wǎng)絡(luò)犯罪分子的控制指令。
Dr.Web公司同時披露稱,Linux.BackDoor.Xunpes.1能夠執(zhí)行超過40種指令,竊取用戶信息或者對其使用過程進(jìn)行篡改。
除此之外,安全研究人員還發(fā)現(xiàn),該木馬能夠?qū)⑽募l(fā)送至特定目錄當(dāng)中,同時將這些文件上傳至目標(biāo)服務(wù)器——如此一來,木馬就能夠?qū)崿F(xiàn)文件與文件夾的創(chuàng)建、移除與重命名等操作。新朋友請關(guān)注「E安全」微信搜公眾號EAQapp再有,該惡意軟件的核心設(shè)計思路在于利用它執(zhí)行bash命令、發(fā)送與設(shè)備相關(guān)的信息以及.default.conf文件以及關(guān)閉特定窗口等等。
就在上周,Dr.Web公司的研究人員們發(fā)現(xiàn)了另一款Linux惡意軟件,名為Linux.Ekoms.1,其設(shè)計目的在于每隔30秒對受感染設(shè)備進(jìn)行一次截屏,而后將截屏信息以加密方式發(fā)送至C&C服務(wù)器端。
同樣是在上個禮拜,Perception Point公司的研究人員還披露了一項(xiàng)存在于Linux3.8及更新內(nèi)核版本中的安全漏洞,其已經(jīng)被認(rèn)定為CVE-2016-0728漏洞且據(jù)稱允許攻擊者執(zhí)行內(nèi)核代碼并在目標(biāo)系統(tǒng)之上獲得root權(quán)限。此項(xiàng)漏洞在剛剛曝光時據(jù)稱將影響到三分之二運(yùn)行有Android系統(tǒng)的移動設(shè)備,但谷歌公司很快回應(yīng)稱其危險程度并沒有那么夸張。
分享到微信 ×
打開微信,點(diǎn)擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。