Die SpeakUp Linux Trojan ist eine der gefährlichsten Bedrohungen in den letzten Wochen, da sie als stiller Backdoor-Trojaner kategorisiert. Es ist in der Lage, erfolgreich aktive Sicherheitslösungen zu umgehen und die bestätigten Kampagnen zeigen, dass sie es vor Schwachstellen in populären Distributionen gerichtet ist. Im Moment konzentrieren sich die Angriffe vor allem gegen Server in Lateinamerika, Ostasien und schließen AWS Instanzen sowie.
Die Speakup Linux Trojan Bedrohung - Was wir über die anhaltenden Angriffe kennen
Das Hauptverfahren, durch die Infektionen gemacht werden, ist ein Fehler in ThinkkPHP, die in dem nachgeführt CVE-2018-20062 Beratungs die liest die folgende:
Ein Problem wurde in NoneCms V1.3 entdeckt. ThinkPHP / library / denken / erlaubt App.php Angreifer über das Netzwerk beliebigen PHP-Code über gearbeitete Verwendung des Filters Parameter auszuführen, wie sie in der s = index / denken Request / Eingang demonstriert&Filter = phpinfo&Daten = 1 Abfrage-String.
Wenn eine verwundbare Dienst der SpeakUp Linux Trojan getan wird, wird eine manipulierte Netzwerkanforderung ausgeführt, die zur erfolgreichen Infektion führen. Ein deutliches Unterscheidungsmerkmal ist die Ausführung eines Python basierten Skript, welches die erreichbaren Maschinen auf dem lokalen Netzwerk scannen. Dies wird getan, um für bestimmte Schwachstellen zu finden - die Malware-Code wird versuchen, sie zu infizieren, indem er versucht Remotecodeausführung Fehler auslösen. Die aktuelle Kampagne zielt auf die folgenden Schwachstellen:
- CVE-2012-0874 - JBoss Enterprise Application Platform Multiple Sicherheit Bypass Vulnerabilities
- CVE-2010-1871 - JBoss Seam Framework-Remotecodeausführung
- JBoss AS 3/4/5/6 - Remote Command Execution
- CVE-2017-10271 - Oracle WebLogic WLS-wsat Component Deserialisierung RCE
- CVE-2018-2894 - Sicherheitsanfälligkeit in der Oracle WebLogic Server-Komponente von Oracle Fusion Middleware
- Hadoop GARN Resourcemanager - Befehlsausführung
- CVE-2016-3088 - Apache ActiveMQ Fileserver Datei hochladen Remotecodeausführung
Wir haben die Bestätigung erhalten, dass die aktuellen Angriffe auf Maschinen in Ostasien und Lateinamerika liegt gesetzt. Die Forscher haben auch entdeckt, dass AWS gehostete Dienste wurden ebenfalls betroffen. Was ist gefährlicher ist, dass aufgrund der Tatsache, dass der Code richtigen Code geschrieben wird, unter Verwendung von es kann auch Mac-Maschinen infiziert.
Die SpeakUp Linux Trojan Infektion Capabilities und beobachtetem Verhalten
Sobald eine erfolgreiche Infiltration Versuch hat das schädliche Skript wird ein vorgenommen ziehen LBUS Nutzlast die in der zu injizierenden “tmp” Lage. Von dort wird auf die eigentliche Backdoor ausgeführt werden. Es ist so programmiert, ein Perl-Skript von einem Remote-Server abrufen und nach einer Verzögerung von zwei Sekunden laufen. Die Originaldatei wird entfernt werden, um es unmöglich zu machen, die Beweise und Weg der Infektion, um herauszufinden,. Diese zweite Stufe Nutzlast wird seine beabsichtigten Funktionen unter Verwendung kodierter Speicher durchführen - dies wird getan, um es unmöglich zu machen für die Analyse ohne Dekodieren der Strom in Echtzeit durchgeführt werden.
effektiv ein Sicherheit Bypass auf den Opfer-Computern erzwungen - das Virus Installation verzögert, die durch Anti-Virus-Programme scannen getan um die typische Heuristik geht. Zusätzlich, da die Speicheroperationen die Sicherheitssoftware verschlüsselt werden, kann nicht in der Lage sein, die Prozesse zu lesen und erkennen, dass eine Bedrohung vorliegt. Effektiv kann dies Strategie kann die Motoren oder die Anwendungen ganz zu entfernen, verwendet werden,. Die Liste der Programme, die betroffen sein könnten, umfassen Anti-Virus-Programme, Firewalls, Einbrucherkennungssystem, Hosts für virtuelle Maschinen und Sandbox-Umgebungen.
Das Hauptziel des SpeakUp Linux Trojan ist eine sichere Verbindung zu einem Hacker-kontrollierten Server herzustellen. Es ermöglicht im Wesentlichen die Kriminellen Befehle auszuführen, von denen viele in den Motor eingebaut. Alles, was sie brauchen, ist einfach auf den lokalen Dienst auf dem erforderlichen Argument übergeben. Die Analyse zeigt, dass die Kommunikation in regelmäßigen Abständen durchgeführt wird, die als markiert ist, “Schläge”. Die SpeakUp Linux Trojan wird sichergestellt, dass nur eine Instanz wird durch die Angabe eines internen zu einem Zeitpunkt ausgeführt wird Mutex Unterschrift. Einige der Befehle, die auf die Hacker-Betreiber zur Verfügung stehen, sind über Netzwerkanalyse erfasst:
- neue Aufgabe - Dieser Befehl wird ein Hacker-hochgeladen Code ausführen oder auf dem infizierten Computer-Datei. Es ist auch die Hosts in das Herunterladen und Ausführen einer Datei von einem Remote-Service zu beauftragen, verwendet. Andere mögliche Aufgaben umfassen die Tötung der laufenden Prozesse oder sie zu deinstallieren. Ein up-to-date-Statusbericht kann auch von den Maschinen angefordert werden.
- nicht fragen - Das wird die lokale SpeakUp Linux Trojan Instanz schlafen und Follow-up auf den Server für die Inbetriebnahme von zusätzlichen Befehlen.
- newerconfig - Dadurch wird die Konfigurationsdatei aktualisieren.
Es scheint, dass eines der Hauptziele ist ein implementieren Kryptowährung Bergmann. Dies ist ein Trend in den letzten Jahren, wobei diese kleinen Anwendungen der Vorteile der Hardware-Ressourcen stattfinden werden durch intensive Aufgaben betraute. Sie werden eine schwere Last auf der CPU platzieren, GPU, Speicher und Festplattenspeicher. Jedes Mal, wenn einer von ihnen vollständig der Hacker Betreiber digitale Währung erhalten, das auf ihre Brieftaschen direkt verdrahtet werden.
Wir haben unsere Leser daran erinnern, dass diese Informationen lediglich die die aktuelle Version und die Aktivitäten der Virusproben darstellt, wie in der vorliegenden konfiguriert. Es ist möglich, dass die zukünftigen Versionen ein ganz anderes Verhaltensmuster haben.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: