Sicherheitsforscher entdeckten den CowerSnail Linux-Virus in einer laufenden Untersuchung in großen Hacker-Attacken. Nach der Analyse sind die Kriminellen hinter der Malware auch verantwortlich für die SambaCry Trojaner, die die CVE-2017-7494 Sicherheitsanfälligkeit ausnutzen.
Was ist die CowerSnail Linux Virus
Der CowerSnail Malware wurde in einer laufenden Angriff Kampagne durch eine Hacker-Gruppe gerichtet detektiert. Es ist speziell auf das Open-Source-Betriebssystem zum Ziel gemacht, wie es den QT-Toolkit kompiliert wird mit - eine des am häufigsten Entwicklungs-Frameworks kompatibel mit dem Linux-Ökosystem verwendet. Einer der wichtigsten Vorteile ist einmal, dass der CowerSnail Linux-Virus gemacht kann auch auf andere Betriebssysteme portiert werden: Mac OS X, Microsoft Windows und mehr Embedded-Plattformen (Integrität, QNX und VxWorks) beispielsweise. Die aktuellen Versionen sind mit mehreren Bibliotheken verknüpft, die von den Linux-Systemkomponenten verwendet werden,, wenn sie auf eine plattformübergreifende Iteration geändert werden dann wäre der Anschluss einfach zu programmieren. Dies kommt mit einem Preis von der Dateigröße reflektierte. Da alle Komponenten in das Virus eingebaut sind ausführbar die resultierende Größe ungefähr ist 3 MB. Dies macht es deutlich schwer es effektiv über einige der beliebtesten Verbreitung Taktik zu verteilen.
Die Sicherheitsanalyse zeigt, dass die gefangenen CowerSnail Linux Virusproben, die nach der Infektion Muster zeigen:
- Wenn der CowerSnail Linux-Virus die Software ausgeführt wird, versucht automatisch, die Priorität des laufenden Thread und die App selbst zu erheben.
- Anschließend wird eine API aufgerufen StartServiceCtrlDispatcher stellt die Verbindung mit Remote-Hacker betrieben C&C (Steuerung und Kontrolle) Server. Dieser effektiv macht den CowerSnail Linux-Virus in einen gefährlichen Trojaner, da die Netzwerk-Kommunikation in der frühen Phase der Infektion festgestellt werden.
- Wenn dies nicht gelingt CowerSnail können auch vordefinierte Aktionen akzeptieren und Variablen als Benutzereingabe akzeptieren. Effektiv CowerSnail kann als sekundäre Nutzlast eingebaut werden und durch eine andere Malware konfiguriert werden,.
- Die infizierten Rechner sind mit dem C gemeldet&C-Server über das IRC-Protokoll, das mit den Nutzern für den Chat eines der beliebtesten Protokolle. IRC-Bots und automatische Software gehören zu den einfachstenen Arten von Hacker-gesteuerte Infrastruktur auf dem Hacker Underground Märkte.
CowerSnail Linux Virus-Funktionen
Eines der wichtigsten Merkmale mit dem CowerSnail Linux Malware verbunden ist, ist die Tatsache, dass es als Teil eines größeren Maßstab Angriff, der mehrere Viren beinhaltet eingesetzt werden kann. Ein mögliches Szenario wäre eine weitere Bedrohung durch Viren zu verwenden, um die Erstinfektion zu machen und den Trojaner nutzen Spionage und Fernsteuerungsaktionen für die Durchführung von. Die primäre Bedrohung kann die C abrufen&C-Servern und zugehörige Befehle, die zu CowerSnail zugeführt werden kann.
Die Sicherheitsexperten entdeckt, dass, wenn die Virus-Infektionen stattgefunden haben, eine systemweite Hardware-Komponenten scannen durchgeführt wird, und die resultierenden Daten an die Kriminellen geschickt. Die gesammelten Daten können für Statistiken verwendet werden oder andere Schwachstellen in den kompromittierten Geräten zu entdecken. Die erfassten CowerSnail Linux Virusproben wurden eine umfangreiche Liste von Funktionen zur Verfügung zu stellen gefunden:
- Automatische Updates - Der CowerSnail Linux-Virus-Code kann die Dateien auf Auto selbst aktualisieren, wenn eine neue Version von den Entwicklern ausgegeben wird,.
- Beliebige Befehlsausführung - Eine aktive CowerSnail Infektion erlaubt die Remote-Betreiber Befehle ihrer Wahl ausführen.
- Service Installation - Die Malware kann als Systemdienst eingesetzt werden, die stark wirkt sich auf die Fähigkeit, sie zu kontrollieren. Die Leistungen werden in der Regel beim Systemstart ausgeführt werden und können mit Root-Rechten geändert werden, die einig Linux-Benutzer nicht in der Lage sein kann, erwerben. Diese Infektion Methode ist sehr ähnlich zu den gefährlichen Rootkits. Erweiterte Versionen des CowerSnail Linux-Virus kann auch das Kernel infiltrieren durch das Hinzufügen neuer Module, um es. Die Kriminellen können auch die bösartige Instanz anweisen, sich von den infizierten Rechner zu entfernen.
- Detaillierte Informationen Harvesting - der CowerSnail Linux Virus angewiesen, wenn auch weitere Informationen zu den Maschinen extrahiert. Die Malware wurde in der Lage sein zu finden folgende Daten zu sammeln: Zeitstempel der Installation, detaillierter Betriebssystemname und Version, Computer (Gastgeber) Name, Details zu allen verfügbaren Netzwerkgeräte, die Application Binary Interface (HELP) und der Prozessor und die Speicherinformation.
CowerSnail Linux Virus und die SambaCry Trojan (CVE-2017-7494) Verbindung
Die CowerSnail Linux Viren Betreiber wurden gefunden die gleiche C verwenden,&C-Server als SambaCry Trojan. Darüber hinaus scheint es, dass einige der Code-Basis von der Malware-bezogen ist. Dies ist ein Trojaner, der Maschinen anfällig für den sogenannten infiziert EternalRed oder SambaCry ausnutzen(CVE-2017-7494). Der beratende liest die folgende:
Alle Versionen von Samba aus 3.5.0 weiter sind anfällig für eine Sicherheitsanfälligkeit kann Remotecode, so dass ein böswilliger Client eine gemeinsam genutzte Bibliothek an einen beschreibbaren Anteil hochladen, und dann zu bewirken, dass der Server, um es zu laden und auszuführen.
Dies ist eine große Schwäche in der Samba-Software-Implementierung des SMB-Protokolls, das sowohl in Linux-Distributionen und anderen verwandten Systemen wie Mac OS X verwendet wird,. Die Sicherheitsanfälligkeit betroffen Versionen, die zurückgehen 2010 und es wurde erst kürzlich gepatcht worden, nachdem die Sicherheitsexperten der Fehler aufgedeckt. Der SambaCry Trojan führt einen vordefinierten Befehl mit Super-User (Wurzel) Privilegien, die den Infektionsprozess initiiert:
- Reverse-Shell Startup - Die Sicherheitsanalyse zeigt, dass die erste Stufe ist die Ausführung einer umgekehrten Schale, die Fernbedienung vordefiniert Sever verbindet. Dies gibt den Angreifern die Möglichkeit, das infizierten Rechner zu einem bestimmten Zeitpunkt auf der Fernbedienung.
- Malware Infiltrations - Der SambaCry Linux Trojan wurde von Computer-Hackern verwenden Maschinen weltweit zu infiltrieren und verbreiten zusätzliche Viren und Bedrohungen.
- Crypto Währungs Mining - Ein großer Teil der infizierten Hosts wurde berichtet, eine Monero Kryptowährung miner enthalten. Es wird von einem entfernten Rechner heruntergeladen und gestartet auf dem Host-Computer. Es nutzt die Systemressourcen Mine Krypto Währung, die auf die digitale Brieftasche des Hacker übertragen.
digitale Währung Mining hat ein neuer Trend unter Hackern als großes Netzwerk von infizierten Maschinen wird ein großzügiges Einkommen generieren kann. Die Sicherheitsingenieure aufgedeckt, dass ein beliebtes Monero “Bergmann” Werkzeug wurde in der Nutzlast modifiziert - automatisch ausführt selbst fest codierte Parameter verwendet, wenn kein ihm gegeben werden. Dies ist vergleichbar mit dem Adylkuzz Virenbefall.
Achten Sie auf weitere Updates CowerSnail Linux Virus
Da es das CowerSnail Linux-Virus stellt sich heraus, ist eine modifizierte Version von einer früheren Bedrohung. Wir gehen davon aus, dass der Hacker kollektiven dahinter neue Malware in Zukunft veröffentlichen wird auch, da sie eine Erfolgsbilanz gefährliche Viren zu produzieren.
Linux-Benutzer sollten vorsichtig sein, wenn ihre Systeme wie die Mehrzahl der Infektionen mit gefährdeter Software verursacht werden. aktualisieren ständig Ihre Computer und stützen sich auf die besten Sicherheits-Taktik - gesunder Menschenverstand. Nicht herunterladen oder Skripte oder Software aus nicht vertrauenswürdigen Quellen laufen und halten Sie sich für die neuesten Bedrohungen aktualisiert.