Der er en ny Linux-Trojan, døbt Linux / NyaDrop, og det er allerede reverse engineering af MalwareMustDie. Dette er i virkeligheden den samme forsker, der opdagede Mirai. Den Mirai tingenes internet botnet blev brugt i flere angreb og havde en global infektion sats. Fremkomsten af en ny Linux-malware kan forklares med, at Mirai kildekoden blev lækket ikke alt for længe siden.
Mere om Linux / NyaDrop
MalwareMustDie forskning tyder på, at Linux / NyaDrop blev brugt i brute-force angreb på Telnet-porte, Softpedia rapporter. Oprindeligt, malware var temmelig forenklet, men dens kode er skredet frem siden DDoS angreb på KrebsOnSecurity. Malware operatør(s) skal have været lokket af succesen med Mirai IoT botnet.
I lighed med den gennemsnitlige IOT malware, NyaDrop angreb er baseret på brute-tvinger internetopkoblede IoT enheder via deres standard legitimationsoplysninger.
Tekniske Detaljer
Den trojanske er ganske lille i størrelse, og det er, fordi det er en pipette. En dropper er et stykke malware kun indsat for at hente andre malware på et system. Dette er måske første gang, forskere kommer på tværs af tingenes internet malware, der bruger en pipette. Droppers er en fælles praksis for desktop malware og er en typisk del af den gennemsnitlige malware angreb.
Hvorfor NyaDrop? Navnet kommer fra den faktiske malware, der kan være faldet - et ELF binær døbt ”nya”.
Som for en vellykket malware-infektion, forskeren giver følgende forklaring:
Den installeret malware fil i MIPS-systemet er Linux malware bagdør og dropper, Jeg kalder det som ELF Linux / NyaDrop malware, med den funktion at åbne en internet-stik(AF_INET) til fjernforbindelse til den eksterne vært til modtagelse af data af enhver Linux eksekverbar strøm beregnet til at inficere tidligere Linux / NyaDrop kompromitteret maskine.
Når infektionen er vellykket, NyaDrop vil åbne en bagdør og hente Nya Trojan men kun hvis tingenes internet enhed bruger et MIPS 32-bit arkitektur for sin CPU. MIPS-baserede CPU'er er typiske for enheder som routere, DVR, CCTV-kameraer, indlejrede systemer i almindelighed.
Den værste del er, at endnu-til-være-udgivet versioner af NyaDrop kan implementeres i en række ondsindede scenarier. For én, nye nyttelast kan downloades på de inficerede enheder. Den nye malware kan bruges til at initiere DDoS-angreb eller kan bruges som stedfortrædere for webtrafik, dermed skjuler hackerens faktiske placering.
Alle disse ”tricks” ansat af skaberen af NyaDrop afslører en velgennemtænkt dagsorden. Hackeren gør hvad de kan for ikke at blive fanget. Desuden, NyaDrop kan endda registrere honeypot miljøer. Udførelsen af malware vil blive stoppet, hvis der detekteres et sådant miljø. Den malware Forfatteren har også taget sig af den måde NyaDrop er spredt rundt. Det er derfor, MalwareMustDie siger, at han er heldig at have ”erhvervet” en prøve med henblik på reverse engineering.
Mere tekniske detaljer
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: