Der er registreret en ny stamme af Linux-malware. Døbt Linux / shishiga, malwaren kunne forvandle sig til en farlig malware. Linux / shishiga blev officielt opdaget og undersøgt af forskere ved Eset.
"Blandt alle de Linux-prøver, som vi modtager hver dag, vi bemærket en prøve kun opdaget af Dr.Web - deres afsløring hed Linux.LuaBot,”forskerne skrev. Efter at de analyserede det, de opdagede, at det faktisk var en bot skrevet i letvægts scriptsprog Lua men er i virkeligheden en helt ny familie, ikke relateret til kendte Luabot malware. Således, malware fik et nyt navn - Linux / shishiga. Malwaren bruger fire forskellige protokoller, SSH, Telnet, HTTP, og BitTorrent, og Lua scripts til modularitet.
Relaterede: Beskyt din Linux Device fra Udnytter og malware
Systemer Målrettede på Linux / shishiga
Linux / shishiga henvender GNU / Linux-systemer. Infektionsprocessen initieres via en bredt misbrugte teknik: brute-tvinger svage legitimationsoplysninger ved hjælp af en adgangskode liste. Et andet stykke af malware, Linux / Moose, har været kendt for at gøre dette på en lignende måde. Men, Shishiga har en ekstra mulighed for at brute-force SSH legitimationsoplysninger. Forskerne fandt flere binære filer for malware til forskellige arkitekturer fælles for IoT enheder (såsom MIPS, ARM, i686, PowerPC). Andre arkitekturer, dog, kan understøttes også (SPARC, SH-4 eller m68k).
Linux / shishiga Teknisk beskrivelse
Shishiga er en binær pakket med UPX værktøj (ultimative pakker til eksekverbare filer) der kan have problemer med udpakning det som malware tilføjer data i slutningen af den pakkede fil. Når udpakket, det vil statisk være forbundet med den Lua runtime bibliotek og vil blive frataget alle symboler.
Forskere har observeret nogle dele af malware at have været omskrevet løbet af de sidste par uger. Andre test moduler er blevet tilføjet, for, og overflødige filer er blevet fjernet.
Forskere mener også, at kombinationen af at bruge Lua scriptsprog og statisk forbinder dette med Lua tolk biblioteket er spændende. Denne kombination kan betyde to ting - at angriberne arvede koden og besluttede at skræddersy det til forskellige målrettede arkitekturer. Eller de valgte dette sprog, fordi det er nemt at bruge.
Relaterede: Linux.PNScan Malware Brute-Forces Linux-baserede routere
Der er helt sikkert en hel del ligheder med LuaBot tilfælde, men forskere mener Linux / shishiga at være anderledes. Den malware forventes at udvikle sig og blive mere udbredt, selv om antallet af ofre er lav hidtil. De konstante ændringer af koden er en klar indikation af, at malware bliver forbedret.
Afslutningsvis, Linux / shishiga kan synes at være ligesom de fleste Linux-malware, spredning gennem svage Telnet og SSH legitimationsoplysninger, men implementeringen af BitTorrent-protokollen og Lua moduler gør det noget enestående. BitTorrent blev anvendt i Hajime, den Mirai-inspirerede orm, og dermed kan det blive mere populært i de kommende måneder.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: