El troyano Linux Cuéntanos es una de las amenazas más peligrosas en las últimas semanas, ya que se clasifica como un troyano de puerta trasera en silencio. Es capaz de evadir con éxito las soluciones de seguridad activa y las campañas confirmados indican que se dirige contra vulnerabilidades en las distribuciones populares. En el momento de los ataques se concentran principalmente en contra de servidores en Latinoamérica, Asia oriental e incluyen casos de AWS, así.
La amenaza de Troya habla de Linux - Lo que sabemos sobre los ataques en curso
El principal método a través del cual se hacen las infecciones es un error en ThinkkPHP que se hace un seguimiento en el CVE-2018 a 20.062 de asesoramiento que dice lo siguiente:
Un problema fue descubierto en NoneCms V1.3. ThinkPHP / biblioteca / pensar / app.php permite a atacantes remotos ejecutar código PHP de su elección mediante el uso artesanal del parámetro de filtro, como lo demuestra el índice de s = / pensar Solicitud / entrada&filter = phpinfo&cadena de datos de consulta = 1.
Si un servicio se hace vulnerables a los Linux Troya Speakup se ejecutará una solicitud de red diseñado lo que conducirá a la infección exitosa. Una característica distintiva es la ejecución de un script en Python que puede escanear las máquinas accesibles en la red local. Esto se hace con el fin de buscar vulnerabilidades específicas - el código de malware intentará infectar a ellos, tratando de provocar errores de ejecución remota de código. La actual campaña se dirige a las siguientes vulnerabilidades:
- CVE-2012-0874 - JBoss Enterprise Application Platform Múltiples vulnerabilidades de seguridad de bypass
- CVE-2010-1871 - JBoss Seam Marco de ejecución remota de código
- JBoss AS 3/4/5/6 - ejecución remota de comandos
- CVE-2017-10271 - Oracle WebLogic WLS-WSAT Componente Deserialización RCE
- CVE-2018-2894 - Una vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware
- Hadoop HILO ResourceManager - Ejecución de comandos
- CVE-2016-3088 - Apache ActiveMQ Fileserver File Cargar la vulnerabilidad de ejecución remota de código
Hemos recibido la confirmación de que los ataques actuales se fijan contra las máquinas ubicadas en el Este de Asia y América Latina. Los investigadores también han descubierto que los servicios alojados de AWS también se han visto afectados. Lo que es más peligroso es que debido al hecho de que el código está escrito utilizando el código correcto También puede infectar máquinas Mac.
Las capacidades de infección habla de Linux de Troya y comportamiento observado
Tan pronto como se ha hecho un intento exitoso de la infiltración del script malicioso tirará una de carga útil LBUS que se va a inyectar en el “tmp” ubicación. A partir de ahí la puerta trasera real se llevará a cabo. Se programa para recuperar un script de Perl desde un servidor remoto y ejecutarlo después de un retraso de dos segundos. El archivo original se eliminará con el fin de hacer que sea imposible averiguar la evidencia y la vía de infección. Esta carga útil de la segunda etapa llevará a cabo las funciones previstas utilizando la memoria codificada - esto se hace con el fin de hacer que sea imposible para el análisis a hacerse sin decodificar el flujo en tiempo real.
efectivamente una omitir la seguridad de se aplica en los ordenadores de las víctimas - la instalación de virus se retrasa la que va alrededor de la heurística típicos scan hecho por los programas antivirus. Además como se codifican las operaciones de memoria del software de seguridad puede no ser capaz de leer los procesos e identificar una amenaza que está presente. Efectivamente esta estrategia puede se puede utilizar para eliminar los motores o las aplicaciones por completo. La lista de los programas que van a ser afectados incluyen programas antivirus, cortafuegos, sistema de deteccion de intrusos, virtual hosts de máquina y entornos de entorno limitado.
El objetivo principal del troyano Linux Cuéntanos es establecer una conexión segura a un servidor pirata informático controlado. En esencia, permite a los delincuentes para ejecutar comandos, muchos de los cuales están integrados en el motor. Todo lo que necesitan es pasar simplemente en el argumento necesario para el servicio local. El análisis muestra que la comunicación se realiza a intervalos regulares que se etiquetan como “golpes”. El troyano Linux Cuéntanos se asegurará de que sólo una única instancia se está ejecutando en un momento especificando una interna firma mutex. Varios de los comandos que están disponibles para los operadores de hackers han sido capturados a través de análisis de redes:
- nueva tarea - Este comando se ejecutará un código de hackers cargado o un archivo en la máquina infectada. También se utiliza para instruir a los anfitriones en descargar y ejecutar un archivo de un servicio remoto. Otras tareas posibles incluyen la matanza de los procesos en ejecución o desinstalarlos. Un informe de estado de puesta al día también puede ser solicitada a las máquinas.
- no preguntar - Esto va a dormir la instancia local habla de Linux de Troya y el seguimiento del servidor para la puesta en marcha de comandos adicionales.
- newerconfig - Esto actualizará el archivo de configuración.
Parece ser que uno de los principales objetivos es implementar una La minera criptomoneda. Esta es una tendencia en los últimos años en donde estas aplicaciones de pequeño tamaño se aprovecharán de los recursos de hardware mediante la ejecución de tareas intensivas. Se colocarán una carga pesada en la CPU, GPU, memoria y espacio en disco duro. Cada vez que uno de ellos es completa los operadores de hackers recibirán moneda digital que se conecta directamente a sus bolsillos.
Recordamos a nuestros lectores que esta información sólo la representa la versión actual y las actividades de las muestras de virus como se ha configurado en el presente. Es posible que las versiones futuras tendrán un patrón de comportamiento muy diferente.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: