安全研究人员发现了一种针对Linux系统的新型恶意软件。 研究人员认为这种被称为HiddenWasp的恶意软件被用作对已经受到威胁的系统的第二阶段针对性攻击。
HiddenWasp与其他最近的Linux威胁不同,后者专注于感染物联网(IoT)设备以用作分布式拒绝服务(DDoS)僵尸网络的一部分或部署加密货币挖掘恶意软件。 根据Intezer的Ignacio Sanmillan所说,HiddenWasp是为远程控制已经受到威胁的系统而设计的。 它的rootkit功能使恶意软件能够避免被检测到。
[趋势科技研究:Erebus Linux勒索软件的技术分析]
HiddenWasp由部署脚本,rootkit和特洛伊木马组成,它的许多代码以及它们的实现方式似乎让人想起或借鉴了不同的开源恶意软件。 例如,HiddenWasp的rootkit组件可能会使用,移植和修改Mirai和Azazel rootkit项目中的某些代码。 Sanmillan还指出,HiddenWasp的结构与Winnti恶意软件的Linux版本相似。
一旦HiddenWasp成功部署到受感染的系统上,攻击者就可以执行各种操作,包括: 检索系统和文件信息并列出存储在系统中的文件 复制,上传,下载,移动和删除文件 执行文件或脚本并运行命令
[阅读:使用挖掘和后门命令更新了Bashlite IoT恶意软件,以WeMo设备为目标]
HiddenWasp的功能组合并不是新功能。 例如,去年,趋势科技的研究人员发现了与Rootkit捆绑在一起的Monero挖矿恶意软件,以隐藏其加密货币挖矿例程。 最近,趋势科技研究人员发现针对安装有漏洞的Confluence协作软件的Linux运行系统的野外攻击。 该恶意软件还附带了一个rootkit来逃避检测。
HiddenWasp证明了Linux威胁的不断发展。 与以前旨在主要执行单个或特定例程(例如未经授权的加密货币挖掘或加密)的Linux威胁相比,当今许多Linux威胁正在合并或嵌入其他有效载荷。
[阅读:从KORKERDS复制Linux Coin Miner脚本,删除了所有其他恶意软件和矿工]
Linux恶意软件带来了相当大的安全风险。 许多企业使用Linux之类的Unix和类Unix操作系统来运行其大型机,服务器,系统管理工作站,Web开发平台,甚至是移动应用程序。 企业可以通过以下最佳实践来增强对Linux威胁的防御能力: 确保存储库经过验证,并禁用过时或不必要的组件,扩展和服务 贯彻最低特权原则 修补和更新系统(或采用虚拟修补) 主动监视和检查网络是否存在异常的系统修改或入侵 采用其他安全机制。 例如,IP过滤可用于防止未经授权的IP地址连接到系统,例如HiddenWasp用于命令和控制通信的系统。 Sanmillan还提供了可以帮助检测HiddenWasp的YARA规则,并提供了一种变通方法来检查系统是否受到威胁。
Trend Micro端点解决方案(如Smart Protection Suite和企业安全无忧解决方案)可以通过检测恶意文件和消息以及阻止所有相关的恶意URL来保护用户和企业免受威胁。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢