Sikkerhed forskere opdaget CowerSnail Linux-virus i en igangværende undersøgelse af storstilede hackerangreb. Ifølge analysen de kriminelle bag malware er også ansvarlige for de SambaCry trojanere, der udnytter CVE-2017-7494 sårbarhed.
Hvad er den CowerSnail Linux virus
Den CowerSnail malware blev påvist i et igangværende angreb kampagne instrueret af en hacker gruppe. Det er specielt lavet til at målrette den open source-operativsystem, som det er kompileret med QT-værktøjerne - en af de mest udbredte udvikling rammer er kompatible med Linux økosystem. Et af de vigtigste fordel er, at når gjort CowerSnail Linux virus kan porteret til andre operativsystemer samt: Mac OS X, Microsoft Windows og flere integrerede platforme (Integritet, QNX og VxWorks) for eksempel. De aktuelle versioner er forbundet med flere biblioteker, der bruges af Linux systemkomponenter, hvis de er ændret til en cross-platform iteration derefter havnen ville være let at programmere. Dette kommer med en pris afspejles på filstørrelsen. Da alle komponenter er indbygget i virus eksekverbare den resulterende størrelse er omkring 3 MB. Det gør det væsentligt svært at effektivt at distribuere den via nogle af de populære spread taktik.
Sikkerheden analyse afslører, at de tilfangetagne CowerSnail Linux virusprøver påvise følgende infektion mønster:
- Når CowerSnail Linux virus køre softwaren forsøger automatisk at ophøje prioriteringen af den kørende tråd og den app selv.
- Bagefter en API kaldet StartServiceCtrlDispatcher som etablerer forbindelse med remote hacker-opererede C&C (kommando og kontrol) servere. Dette slår effektivt CowerSnail Linux-virus ind i en farlig trojansk som netværkskommunikation er etableret i den tidlige fase af infektion.
- Hvis det ikke lykkes CowerSnail kan også acceptere foruddefinerede handlinger og acceptere variabler som brugerinput. Effektivt CowerSnail kan installeres som en sekundær nyttelast og konfigureres af en anden malware.
- De inficerede værter rapporteres til C&C servere via IRC protokol, som er en af de mest populære protokoller for chatter med brugerne. IRC bots og automatiseret software er blandt de letteste former for hacker-kontrollerede infrastruktur til rådighed på hacker underjordiske markeder.
CowerSnail Linux Virus Capabilities
Et af de vigtige træk forbundet med den CowerSnail Linux malware er, at det kan implementeres som en del af en større skala angreb, der involverer flere vira. Et muligt scenarie ville være at bruge en anden virus trussel mod den indledende infektion og udnytte den trojanske for udførelse af spionage og fjernbevægelser kontrol. Den primære trussel kan hente C&C servere og tilhørende kommandoer, som kan tilføres CowerSnail.
De sikkerhedseksperter opdagede, at når virusinfektioner har fundet sted hele systemet hardwarekomponenter scanne udføres og sendes de resulterende data til de kriminelle. De indsamlede data anvendes til statistik eller til at opdage andre sårbarheder i de kompromitterede enheder. De tilfangetagne CowerSnail Linux virus prøver viste sig at give en omfattende liste over funktioner:
- Automatiske opdateringer - Den CowerSnail Linux virus kode tillader filerne til automatisk opdatere sig selv, når en ny version er udstedt af udviklerne.
- Vilkårlig Command Execution - En aktiv CowerSnail infektion gør det muligt for eksterne operatører til at udføre kommandoer efter eget valg.
- tjeneste Installation - Den malware kan implementeres som et system tjeneste som alvorligt påvirker evnen til at kontrollere dem. Disse tjenester er normalt kører på systemet boot og kan ændres ved hjælp root privilegier, som nogle Linux-brugere kan ikke være i stand til at tilegne sig. Denne infektion metode er meget lig de farlige rootkits. Avancerede versioner af CowerSnail Linux virus kan endda infiltrere Kernel ved at tilføje nye moduler til det. De kriminelle kan også instruere ondsindet omgang at fjerne sig fra de inficerede værter.
- Detaljeret information Høst - Hvis pålagde CowerSnail Linux virus kan også udtrække yderligere oplysninger om maskinerne. Den malware har vist sig at være i stand til at indsamle følgende data: tidsstempel af installationen, detaljeret navn operativsystem og version, computer (vært) navn, detaljer om alle tilgængelige netværksenheder, Application binære grænseflade (HJÆLP) og processoren og hukommelsen information.
CowerSnail Linux Virus og SambaCry Trojan (CVE-2017-7494) Forbindelse
De CowerSnail Linux virus operatører har vist sig at bruge den samme C&C-servere som SambaCry Trojan. Desuden ser det ud til, at noget af kodebase kommer fra malware. Dette er en trojansk hest, der inficerer maskiner sårbare over for den såkaldte EternalRed eller SambaCry udnytte(CVE-2017-7494). Den rådgivende læser følgende:
Alle versioner af Samba fra 3.5.0 fremefter er sårbare over for en fjernkørsel sårbarhed, tillader en ondsindet klient til at uploade et delt bibliotek til en skrivbar aktie, og derefter få serveren til at indlæse og udføre det.
Dette er en stor svaghed i softwaren implementering af SMB-protokollen Samba, der bruges i både Linux-distributioner og andre relaterede systemer som Mac OS X. Svagheden påvirkede versioner, der kan dateres tilbage 2010 og det er først for nylig blevet lappet efter sikkerhedseksperter afslørede fejlen. Den SambaCry Trojan kører en foruddefineret kommando med superbruger (rod) privilegier, som igangsætter infektionsprocessen:
- Reverse Shell Startup - Sikkerheden analyse viser, at det første trin er udførelse af en omvendt skal, der forbinder til prædefinerede remote sever. Dette giver angriberne evnen til at fjernbetjene de inficerede værter på ethvert givet tidspunkt.
- Malware Infiltration - Den SambaCry Linux Trojan er blevet brugt af hackere til at infiltrere maskiner i hele verden og sprede yderligere vira og trusler.
- Crypto Valuta Mining - En stor del af de inficerede værter er blevet rapporteret til at omfatte en Monero krypto valuta minearbejder. Det er hentet fra en ekstern vært og startede på værtscomputeren. Det bruger systemet ressourcer til minen krypto valuta, som er overført til den digitale tegnebog af hackere.
Mining digital valuta er blevet en nyere tendens blandt hackere som et stort netværk af inficerede maskiner kan generere en generøs indkomst. Den sikkerhed ingeniører afsløret, at en populær Monero “minearbejder” Værktøjet er blevet ændret i nyttelasten - det automatisk udfører selv ved hjælp hardcodede parametre, hvis ingen bliver givet til det. Dette svarer til den Adylkuzz virusangreb.
Hold øje med yderligere CowerSnail Linux Virus Opdateringer
Som det viser sig den CowerSnail Linux-virus er en modificeret udgave af et tidligere trussel. Vi antager, at hackeren kollektive bag det kommer til at frigive nye malware i fremtiden også, da de har en track record for at producere farlige virus.
Linux-brugere bør være forsigtig, når du bruger deres systemer som de fleste infektioner er forårsaget af sårbare software. Konstant opdatere dine computere og stole på de bedste sikkerheds taktik - sund fornuft. Undlad at downloade eller køre scripts eller software fra upålidelige kilder og holde dig opdateret på alle de seneste trusler.