Den SpeakUp Linux Trojan er en af de farligste trusler i de sidste uger, da det er kategoriseret som en tavs bagdør Trojan. Det er i stand til at unddrage sig aktive sikkerhedsløsninger og de bekræftede kampagner viser, at det er det rettet mod sårbarheder i populære distributioner. I øjeblikket koncentrerer angrebene primært mod servere i Latinamerika, Østasien og omfatter AWS instanser samt.
Den Speakup Linux Trojan Threat - Hvad vi ved om de igangværende angreb
Den vigtigste metode, hvorigennem infektioner er lavet er en fejl i ThinkkPHP der spores i CVE-2018-20.062 rådgivende der læser den følgende:
Et problem blev opdaget i NoneCms V1.3. ThinkPHP / bibliotek / tænke / App.php muligt for fjernangribere at udføre vilkårlig PHP-kode via fabrikerede brug af filteret parameter, som det fremgår af s = indeks / tror Request / input&foretage = phpinfo&data = 1 forespørgselsstrengen.
Hvis en sårbar tjeneste sker de SpeakUp Linux Trojan vil køre en fabrikeret netværk anmodning, som vil føre til en vellykket infektion. En distinkt kendetegn er udførelsen af en Python baseret script, der kan scanne nås maskiner på det lokale netværk. Dette gøres for at søge efter bestemte sårbarheder - malware kode vil forsøge at inficere dem ved at forsøge at udløse fjernkørsel af programkode bugs. Den aktuelle kampagne er målrettet mod følgende sårbarheder:
- CVE-2012-0874 - JBoss Enterprise Application Platform Multiple Sikkerhed Bypass Sårbarheder
- CVE-2010-1871 - JBoss Seam Framework fjernkørsel af programkode
- JBoss AS 3/4/5/6 - Fjernbetjening Command Execution
- CVE-2017-10.271 - Oracle WebLogic WLS-wsat Komponent deserialization RCE
- CVE-2018-2894 - Sårbarhed i Oracle WebLogic Server-komponenten af Oracle Fusion Middleware
- Hadoop garn ResourceManager - Kommando Udførelse
- CVE-2016-3088 - Apache ActiveMQ filserver File Upload fjernkørsel sårbarhed
Vi har fået bekræftet, at de nuværende angreb er sat mod maskinerne placeret i Østasien og Latinamerika. Forskerne har også afsløret, at AWS hostede tjenester er også blevet påvirket. Hvad er mere farligt, er, at på grund af det faktum, at koden er skrevet ved hjælp af korrekte kode det kan også inficere Mac-maskiner.
De SpeakUp Linux trojanske Infektion Capabilities og observeret adfærd
Så snart der er gjort et vellykket infiltration forsøg den skadeligt script vil trække en lbus nyttelast der skal injiceres i “tmp” placering. Derfra på selve bagdør vil blive kørt. Det er programmeret til at hente et Perl-script fra en ekstern server og køre det efter en to sekunders forsinkelse. Den oprindelige fil vil blive fjernet for at gøre det umuligt at finde ud af beviserne og smittevej. Dette andet trin nyttelast vil udføre sine tilsigtede funktioner ved hjælp af kodede hukommelse - dette gøres for at gøre det umuligt for analyse, der skal gøres, uden at afkode strømmen i realtid.
effektivt en sikkerhed bypass håndhæves på offeret computere - virus installationen er forsinket som går rundt om de typiske heuristik scanning udført af antivirusprogrammer. Derudover da den hukommelse operationer er kodet sikkerhedssoftware kan ikke være i stand til at læse de processer og identificere, at en trussel er til stede. Effektivt denne dåse strategi kan bruges til at fjerne de motorer eller de programmer helt. Listen over programmer, der er at blive påvirket inkluderer anti-virus programmer, firewalls, intrusion detection systemer, virtuel maskine værter og sandkasse miljøer.
Det vigtigste mål for den SpeakUp Linux Trojan er at etablere en sikker forbindelse til en hacker-kontrolleret server. Det væsentlige gør det muligt for kriminelle at udføre kommandoer, hvoraf mange er bygget ind i motoren. Alt de behøver er simpelthen at videregive den krævede argument til lokal service. Analysen viser, at kommunikation sker med jævne mellemrum, der er mærket som “banker på”. Den SpeakUp Linux Trojan vil sikre, at kun en enkelt forekomst kører på et tidspunkt ved at angive en intern mutex signatur. Flere af de kommandoer, der er til rådighed for de hacker operatører er blevet fanget via netværksanalyse:
- ny opgave - Denne kommando vil køre en hacker-uploadet kode eller fil på den inficerede maskine. Det er også bruges til at instruere værterne til at downloade og køre en fil fra en ekstern tjeneste. Andre mulige opgaver omfatter drab på kørende processer eller afinstallere dem. kan også blive anmodet om en up-to-date statusrapport fra maskinerne.
- notask - Dette vil sove den lokale SpeakUp Linux Trojan instans og opfølgning serveren for opstart af yderligere kommandoer.
- newerconfig - Dette vil opdatere konfigurationsfilen.
Det fremgår, at en af de vigtigste mål er at implementere en cryptocurrency minearbejder. Dette er en tendens i de sidste par år, hvor disse små og mellemstore applikationer vil drage fordel af de hardware-ressourcer ved at udføre krævende opgaver. De vil placere en tung belastning på CPU, GPU, hukommelse og harddiskplads. Når en af dem er komplet de hacker operatører vil modtage digitalt valuta, der vil blive direkte forbundet til deres tegnebøger.
Vi minder vore læsere, at disse oplysninger blot repræsenterer den aktuelle version og aktiviteter af virus prøver som konfigureret i den nuværende. Det er muligt, at de fremtidige versioner vil have en meget anderledes adfærdsmønster.