安全廠商Dr.Web公司的研究人員們表示:一種以Linux系統(tǒng)為目標(biāo)的新型木馬已然現(xiàn)身,并被證實(shí)同多種惡意活動(dòng)有所牽連。被命名為L(zhǎng)inux.BackDoor.Xunpes.1的新型威脅已然現(xiàn)身,研究人員發(fā)現(xiàn)其中包含一套病毒釋放器外加一個(gè)后門(mén)——而該后門(mén)已經(jīng)被用于在 大量受感染設(shè)備上執(zhí)行間諜活動(dòng)。病毒釋放器利用Lazarus構(gòu)建而成——Lazarus是一套面向Free Pascal編譯器的免費(fèi)跨平臺(tái)IDE,而且其中自帶有后門(mén),Dr.Web在一篇博文當(dāng)中解釋稱(chēng)。
該后門(mén)以未加密形式被保存在病毒釋放器本體當(dāng)中,并會(huì)在病毒釋放器啟動(dòng)之后被進(jìn)一步存儲(chǔ)于/tmp/.ltmp/文件夾內(nèi),研究人員們解釋稱(chēng)。他們同時(shí)警告稱(chēng),作為木馬中的第二項(xiàng)組件,這一后門(mén)正是幫助惡意軟件執(zhí)行主要惡意功能的罪魁禍?zhǔn)住?/p>
一旦感染成功,該多用型木馬將能夠執(zhí)行多種操作,包括將文件下載至受感染設(shè)備、針對(duì)文件對(duì)象實(shí)施不同操作、記錄截屏信息以及鍵盤(pán)輸入內(nèi)容等等。
在該后門(mén)被啟動(dòng)之后,它會(huì)利用自身內(nèi)置的一套硬編碼密鑰對(duì)其配置文件進(jìn)行加密,而配置文件內(nèi)則包含一份命令與控制服務(wù)器(簡(jiǎn)稱(chēng)C&C服務(wù)器)以及代理服務(wù)器地址列表,外加其它一些實(shí)現(xiàn)正常運(yùn)作的必要信息。接下來(lái),該木馬會(huì)與C&C服務(wù)器之間建立連接,并等待來(lái)自網(wǎng)絡(luò)犯罪分子的控制指令。
Dr.Web公司同時(shí)披露稱(chēng),Linux.BackDoor.Xunpes.1能夠執(zhí)行超過(guò)40種指令,竊取用戶信息或者對(duì)其使用過(guò)程進(jìn)行篡改。
除此之外,安全研究人員還發(fā)現(xiàn),該木馬能夠?qū)⑽募l(fā)送至特定目錄當(dāng)中,同時(shí)將這些文件上傳至目標(biāo)服務(wù)器——如此一來(lái),木馬就能夠?qū)崿F(xiàn)文件與文件夾的創(chuàng)建、移除與重命名等操作。新朋友請(qǐng)關(guān)注「E安全」微信搜公眾號(hào)EAQapp再有,該惡意軟件的核心設(shè)計(jì)思路在于利用它執(zhí)行bash命令、發(fā)送與設(shè)備相關(guān)的信息以及.default.conf文件以及關(guān)閉特定窗口等等。
就在上周,Dr.Web公司的研究人員們發(fā)現(xiàn)了另一款Linux惡意軟件,名為L(zhǎng)inux.Ekoms.1,其設(shè)計(jì)目的在于每隔30秒對(duì)受感染設(shè)備進(jìn)行一次截屏,而后將截屏信息以加密方式發(fā)送至C&C服務(wù)器端。
同樣是在上個(gè)禮拜,Perception Point公司的研究人員還披露了一項(xiàng)存在于Linux3.8及更新內(nèi)核版本中的安全漏洞,其已經(jīng)被認(rèn)定為CVE-2016-0728漏洞且據(jù)稱(chēng)允許攻擊者執(zhí)行內(nèi)核代碼并在目標(biāo)系統(tǒng)之上獲得root權(quán)限。此項(xiàng)漏洞在剛剛曝光時(shí)據(jù)稱(chēng)將影響到三分之二運(yùn)行有Android系統(tǒng)的移動(dòng)設(shè)備,但谷歌公司很快回應(yīng)稱(chēng)其危險(xiǎn)程度并沒(méi)有那么夸張。