瞄准Linux平台的恶意软件HiddenWasp现身

本文最后修改于 308 天前,部分内容可能已经过时!

资安公司Intezer发现了一种名为HiddenWasp的恶意软件,让黑客得以远端控制受感染的系统,HiddenWasp专门感染Linux平台,由使用者模式Rootkit、木马以及初始部署脚本组合而成,研究人员表示,这个恶意软件疑似由中国黑客创造。

Intezer指出,HiddenWasp与其他常见的Linux恶意软件不同,HiddenWasp目的不是将用户的计算机变成矿机开采加密货币,或是进行DDoS攻击,而是单纯用于远端控制。HiddenWasp可以操作本机档案系统,上传、下载并执行档案,执行终端命令等动作。

HiddenWasp组成复杂,作者从各种公开可用的开源恶意软件中,像是Mirai和Azazel rootkit等项目借来大量程序码,并且与其他中国恶意软件存在一些相似之处,特别是与近期Alphabet旗下的资安子公司Chronicle,发现的Winnti恶意程序Linux变种类似,而这个Winnti变种则是中国黑客的著名工具。

虽然有不少恶意软件也会拼凑使用来自于其他项目的程序码,但研究人员从中找到一些线索,发现HiddenWasp与名称为Adore-ng的Linux中文开源Rootkit存在一些关联,而且虽然HiddenWasp可能由中国黑客开发,但是恶意软件本身却是在中国境外创建与营运,有趣的是HiddenWasp档案曾被上传至恶意软件分析网站VirusTotal中,使用的路径包含了一间中国鉴识公司的名字。

HiddenWasp的植入载体(Implant)被托管在ThinkDream位于香港的服务器中,研究人员提到,HiddenWasp是整个攻击手法的第二阶段工具,用来感染受害者已经受损的系统,他们无法得知黑客传播HiddenWasp的方法。现在有证据显示,可能已经有受害者受到HiddenWasp控制,且进行过大规模侦查活动,目前HiddenWasp正处于活跃的状态,而且所有主要的防毒软件都检测不出来。

研究人员提到,HiddenWasp看起来是有针对性的恶意软件,但无法肯定是受到国家资助的攻击计划,但可以确定的是,HiddenWasp的目的,不是执行挖矿或是DDoS攻击这种可以快速获取利润的短期目标。

要防止Linux系统受到HiddenWasp的攻击,可以封锁Intezer提供的C&C IP位置,而他们也提供了YARA规则,让系统检测在存储器中执行的程序是否包含HiddenWasp植入载体。另外,研究人员也提供了一个快速检查系统是否遭到感染的方法,就是搜寻系统中的ld.so文件,当系统中不存在任何包含/etc/ld.so.preload字符串的文件,则系统可能受到感染,因为HiddenWasp的植入载体会对ld.so实例进行补丁,以便从任意位置执行LD_PRELOAD机制。

创建时间:2019年06月01日
最后修订:2019年06月01日
另请参阅:
linux
上一篇
打赏
下一篇

添加新评论