Linux / Rakos ist der Name der neuesten Form von Linux Malware derzeit auf freiem Fuß. Die Malware ist für die Opfer über SSH-Scan zu suchen. Der Code wird in der Go-Sprache geschrieben. Die binäre wird höchstwahrscheinlich Druck Werkzeug mit dem Standard-UPX, Forscher sagen,.
Die Benutzer haben sich beschwert, dass ihre Embedded-Geräte mit Computer-und Netzwerkaufgaben überlastet. Der Täter scheint die Linux / Rakos Malware zu sein.
verbunden: Linux / NyaDrop: Neue Malware auf dem IoT Horizon
Linux / Rakos Angriffe erklärt
Die Angriffe werden bei SSH-Logins auf Brute-Force-Versuche basieren. Dies ist, wie Linux Malware Stücke arbeiten typischerweise. Ein weiteres Beispiel für einen solchen Angriff ist die Linux / Moose. Linux / Rakos können sowohl Embedded-Geräte und Server mit einem offenen SSH-Port-Kompromiss. Der Hafen ist geschützt, aber das Passwort ist ganz einfach und leicht zu erraten.
Sobald die Malware über ein Gerät genommen, es kann sie in einem Botnetz gehören, die für verschiedene bösartige Aktivitäten dient. Für eine, die Malware das Internet aus einer begrenzten Liste mit IP-Adressen zu scannen, und dann wird es verteilt sich auf mehrere Geräte.
verbunden: Linux.PNScan Malware Brute-Forces Linux-basierte Router
Was die Malware will, ist zu tun, um eine Liste der ungesicherten Geräte erstellen. Dann würde es versuchen, ein Botnet zu schaffen, bestehend aus so viele Zombies wie möglich. Der Scan würde eine begrenzte Liste von IP-Adressen beginnen und würde dann auf mehrere Ziele verteilen. Glücklicherweise, nur Geräte mit geringer Sicherheit werden von Linux / Rakos gefährdet. Was bedeutet das? Einige Anwender haben mit starken Passwörtern berichtet, aber vergessen, die Online-Dienste ihres Geräts zu deaktivieren. Das Passwort wurde auf einen Standard ein nach einem Werksreset geändert zurück. Forscher sagen, dass dies nur einige Stunden von Online-Exposition zu passieren waren nötig,.
Wie funktioniert ein Linux / Rakos Angriff starten?
Das Angriffsszenario beginnt, wenn eine Konfigurationsdatei über die Standardeingabe in YAML-Format geladen wird. Die Datei selbst hat Informationslisten von Befehls- und Kontrollserver. Die Listen haben Anmeldeinformationen in die Brute-Force-Angriffe zu verwenden,. Hier ist ein Beispiel für eine Konfiguration der Malware:
https://github.com/eset/malware-ioc/tree/master/rakos
Was ist die Mitigation gegen einen Linux / Rakos Angriff?
Forscher sagen, dass die Malware keine persistente Installation einrichten. Dennoch, können die gezielte Gastgeber immer wieder angegriffen werden.
Infizierte Geräte können von folgenden Schritten festgelegt werden, wie empfohlen von ESET Forscher:
- Eine Verbindung mit dem Gerät über SSH / Telnet;
- Suchen Sie einen Prozess namens .javaxxx;
- Führen Sie Befehle wie netstat oder lsof mit -n zu makesure es für unerwünschte Verbindungen verantwortlich ist;
- Sammeln Sie forensische Beweise durch den Speicherplatz des entsprechenden Prozess Dumping (z.B.. mit gcore). Man könnte auch mit cp / proc / das gelöschte Probe aus / proc erholen{pid}/exe {output_file}
- Beenden Sie den Vorgang mit dem -KILL.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: