Se ha detectado una nueva cepa de malware Linux. Apodado Linux / shishiga, el malware podría transformarse en una pieza de malware peligroso. Linux / shishiga fue oficialmente descubierto y examinado por investigadores de Eset.
"Entre todas las muestras de Linux que recibimos todos los días, nos dimos cuenta de una muestra detectó sólo por Dr.Web - su nombre detección fue Linux.LuaBot," los investigadores escribió. Después de que se analizaron, descubrieron que se trataba efectivamente de un bot escrito en el lenguaje de programación Lua ligera, pero es en realidad una nueva familia de marcas, no relacionados con el malware conocido Luabot. Por lo tanto, el malware se le dio un nuevo nombre - Linux / shishiga. El malware utiliza cuatro protocolos diferentes, SSH, Telnet, HTTP, y BitTorrent, y scripts Lua para la modularidad.
Relacionado: Protect su dispositivo Linux desde exploits y malware
Sistemas de destino por Linux / shishiga
Linux / shishiga se dirige a los sistemas GNU / Linux. El proceso de infección se inicia por medio de una técnica ampliamente abusado: fuerza bruta credenciales débiles utilizando una lista de contraseñas. Otra pieza de malware, Linux / Moose, se ha sabido para hacer esto de una manera similar. Sin embargo, Shishiga tiene una capacidad añadida a la fuerza bruta credenciales SSH. Los investigadores encontraron varios binarios para el malware para varias arquitecturas común para los dispositivos IO (tales como MIPS, BRAZO, i686, PowerPC). otras arquitecturas, sin embargo, puede estar soportado, así (SPARC, SH-4 o m68k).
Descripción Linux / shishiga Técnica
Shishiga es un binario lleno de la herramienta UPX (empacador definitiva para archivos ejecutables) que puede tener problemas para sacarlo del embalaje como el malware se añade datos al final del archivo empaquetado. Una vez descomprimido, que estará vinculado estáticamente con la biblioteca de tiempo de ejecución Lua y será despojado de todos los símbolos.
Los investigadores han observado algunas partes del software malicioso que se ha reescrito en el último par de semanas. se han añadido otros módulos de prueba, demasiado, y archivos redundantes se han eliminado.
Los investigadores también creen que la combinación del uso de la lengua scripting Lua y estáticamente vincularlo con la biblioteca intérprete de Lua es intrigante. Esta combinación podría significar dos cosas - que los atacantes heredaron el código y decidieron adaptar para diversas arquitecturas específicas. O que eligieron esta lengua, ya que es fácil de usar.
Relacionado: Los routers basados en Linux Linux.PNScan malware bruta Fuerzas
Definitivamente, hay bastantes similitudes con casos LuaBot pero los investigadores creen que Linux / shishiga sea diferente. Se espera que el software malicioso para evolucionar y ser más generalizada, a pesar de que el número de víctimas es baja en lo que va. Las modificaciones constantes de código son una clara indicación de que el malware está siendo mejorado.
En conclusión, Linux / shishiga podría parecer ser como la mayoría del malware Linux, la difusión a través de la debilidad de las credenciales de Telnet y SSH, pero la implementación del protocolo BitTorrent y módulos de Lua hace que sea algo único. BitTorrent se utilizó en Hajime, la gusano de inspiración Mirai, y por lo tanto puede llegar a ser más popular en los meses que vienen.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: