Linux / Rakos er navnet på den nyeste form for Linux malware øjeblikket på løs. Den malware er designet til at søge efter ofre via SSH-scanning. Koden er skrevet i Go sprog. Det binære er mest sandsynligt komprimeres ved hjælp af standard UPX værktøj, siger forskerne.
Brugerne har været klager over, at deres indlejrede enheder er blevet overbelastet med computing og netværksopgaver. Synderen synes at være Linux / Rakos malware.
Relaterede: Linux / NyaDrop: Ny malware på IoT Horizon
Linux / Rakos angreb Forklaret
Angreb er baseret på brute force forsøg på SSH logins. Dette er, hvordan Linux malware stykker fungerer typisk. Et andet eksempel på et sådant angreb er den Linux / Moose. Linux / Rakos kan kompromittere både indlejrede enheder og servere med en åben SSH port. Porten er beskyttet men adgangskoden er ganske enkel og nem at gætte.
Når malware har overtaget en enhed, det kan medtage den i et botnet, der tjener til forskellige ondsindede aktiviteter. For én, malware scanner internettet fra en begrænset liste med IP-adresser, og så vil det sprede sig til flere enheder.
Relaterede: Linux.PNScan Malware Brute-Forces Linux-baserede routere
Hvad malware ønsker at gøre, er at oprette en liste over ikke-sikrede enheder. Så ville den forsøge at skabe et botnet bestående af så mange zombier som muligt. Scanningen ville starte en begrænset liste over IP'er og vil derefter spredt sig til flere mål. Heldigvis, kun enheder med lav sikkerhed er truet af Linux / Rakos. Hvad betyder det? Nogle brugere har rapporteret at have stærke passwords, men glemmer at deaktivere online-tjenesten på deres enhed. Adgangskoden blev ændret tilbage til en standard én efter en fabrik reset. Forskere siger, at for at dette kan ske kun flere timer af online eksponering var behov.
Hvordan virker en Linux / Rakos Attack Start?
Angrebet scenariet starter, når en konfigurationsfil indlæses via standard input i YAML format. Selve filen har information lister over kommando og kontrol-servere. Listerne har legitimationsoplysninger til at bruge i brute force-angreb. Her er et eksempel på en konfiguration af malware:
https://github.com/eset/malware-ioc/tree/master/rakos
Hvad er det Mitigation mod en Linux / Rakos Attack?
Forskere siger, at malware ikke kan oprette en vedholdende installation. Ikke desto mindre, de målrettede værter kan angribes gentagne gange.
Inficerede enheder kan fastsættes ved at følge nedenstående trin, som anvist af ESET forskere:
- Opret forbindelse til din enhed ved hjælp af SSH / Telnet;
- Find en proces ved navn .javaxxx;
- Kør kommandoer som netstat eller lsof med -n skifte til makesure den er ansvarlig for uønskede forbindelser;
- Saml retsmedicinsk bevismateriale ved dumpning af hukommelsesplads af den tilsvarende proces (f.eks. med gcore). Man kunne også gendanne de slettede prøve fra / proc med cp / proc /{pid}/exe {output_file}
- Afslut processen med -KILL.