Ein neuer Stamm von Linux Malware wurde erkannt. Synchronisiert Linux / shishiga, die Malware könnte in eine gefährliche Malware-Transformation. Linux / shishiga wurde offiziell von den Forschern an Eset entdeckt und untersucht.
"Unter allen Linux-Proben, die wir täglich erhalten, wir eine Probe bemerkte nur durch Dr.Web erkannt - ihr Erkennungsname war Linux.LuaBot," die Forscher schrieb. Nachdem sie analysiert sie, sie entdeckten, dass es sich tatsächlich um ein Bot in der leichten Skriptsprache Lua geschrieben, sondern ist in der Tat eine neue Familie, nicht bekannt Luabot Malware im Zusammenhang. So, Die Malware wurde einen neuen Namen - Linux / shishiga. Die Malware nutzt vier verschiedene Protokolle, SSH, Telnet, HTTP, und BitTorrent, und Lua-Skripten für Modularität.
verbunden: Schützen Sie Ihr Linux-Gerät von Exploits und Malware
Systeme Gezielte von Linux / shishiga
Linux / shishiga zielt auf GNU / Linux-Systeme. Der Infektionsprozess wird über eine weiten mißbrauchten Technik initiiert: Brute-Forcing schwachen Anmeldeinformationen ein Passwort Liste mit. Ein weiteres Stück von Malware, Linux / Moose, ist bekannt, dies in ähnlicher Weise zu tun. Jedoch, Shishiga hat eine zusätzliche Fähigkeit zu Brute-Force-SSH-Berechtigungsnachweise. Die Forscher fanden heraus mehrere Binärdateien für die Malware für verschiedene Architekturen üblich, IoT-Geräte (wie MIPS, ARM, i686, PowerPC). andere Architekturen, jedoch, Es kann auch unterstützt werden (SPARC, SH-4 oder m68k).
Linux / shishiga Technische Beschreibung
Shishiga ist ein binäres mit dem UPX-Tool gepackt (Ultimate Packer für ausführbare Dateien) am Ende der gepackten Datei fügt Daten, die Schwierigkeiten haben, kann es als Malware Auspacken. Nach dem Auspacken, es wird statisch mit der Lua-Laufzeitbibliothek verknüpft und wird alle Symbole entfernt werden.
Forscher haben einige Teile der Malware zu beobachten in den letzten paar Wochen wurden von neu geschrieben. Andere Testmodule wurden hinzugefügt, zu, und redundante Dateien wurden entfernt.
Die Forscher glauben auch, dass die Kombination Skriptsprache Lua verwenden und statisch mit der Lua Interpreter-Bibliothek verknüpft ist faszinierend. Diese Kombination könnte zweierlei bedeuten -, dass die Angreifer den Code geerbt und beschlossen, es für verschiedene gezielte Architekturen zuzuschneiden. Oder sie wählen diese Sprache, weil es einfach zu bedienen ist.
verbunden: Linux.PNScan Malware Brute-Forces Linux-basierte Router
Es gibt auf jeden Fall ziemlich viele Ähnlichkeiten mit LuaBot Fällen aber Forscher glauben, Linux / shishiga, anders zu sein. Die Malware wird erwartet, sich zu entwickeln und weiter verbreitet, obwohl die Zahl der Opfer ist gering, so weit. Die ständigen Änderungen des Codes sind ein deutlicher Hinweis darauf, dass sich die Malware verbessert wird.
Abschließend, Linux / shishiga könnte so aussehen wie die meisten Linux-Malware sein, Verbreitung durch schwache Telnet und SSH-Anmeldeinformationen, aber die Umsetzung des BitTorrent-Protokoll und Lua-Module macht es etwas einzigartig. BitTorrent wurde in Hajime verwendet, die Mirai-inspirierten Wurm, und somit kann es immer beliebter geworden in den kommenden Monaten.