Les chercheurs en sécurité ont détecté le virus Linux CowerSnail dans une enquête en cours sur les attaques de pirates informatiques à grande échelle. Selon l'analyse, les criminels derrière les logiciels malveillants sont également responsables des chevaux de Troie SambaCry qui exploitent la vulnérabilité CVE-2017-7494.
Qu'est-ce que le virus CowerSnail Linux
Le logiciel malveillant a été détecté dans CowerSnail une campagne d'attaque en cours dirigé par un groupe de pirates informatiques. Il est spécialement conçu pour cibler le système d'exploitation open-source comme il est compilé en utilisant la boîte à outils QT - l'un des plus utilisés des cadres de développement compatibles avec l'écosystème Linux. L'un des principaux avantages est qu'une fois que le virus a fait Linux CowerSnail peut être porté sur d'autres systèmes d'exploitation et: Mac OS X, Microsoft Windows et plusieurs plates-formes embarquées (Intégrité, QNX et VxWorks) par exemple. Les versions actuelles sont liées à plusieurs bibliothèques qui sont utilisées par les composants du système Linux, si elles sont modifiées à une itération multi-plateforme alors le port serait facile à programmer. Cela vient avec un prix réfléchi sur la taille du fichier. Comme tous les composants sont intégrés dans le virus exécutable de la taille résultante est d'environ 3 MB. Cela rend beaucoup difficile de distribuer efficacement par certaines des tactiques de propagation populaires.
L'analyse de la sécurité révèle que les échantillons de virus capturés CowerSnail Linux démontrent le modèle d'après l'infection:
- Lorsque le virus Linux CowerSnail est exécuté le logiciel tente automatiquement d'élever la priorité du fil en cours d'exécution et l'application elle-même.
- Par la suite une API appelée StartServiceCtrlDispatcher qui établit la connexion avec le piratage actionné à distance C&C (commandement et de contrôle) serveurs. Cela transforme efficacement le virus Linux CowerSnail dans un cheval de Troie dangereux que les communications réseau sont établies dans la phase précoce de l'infection.
- Si cela échoue CowerSnail peut également accepter des actions prédéfinies et accepter des variables comme l'entrée d'utilisateur. En effet CowerSnail peut être installé comme une charge utile secondaire et être configuré par un autre logiciels malveillants.
- Les hôtes infectés sont signalés au C&serveurs C via le protocole IRC qui est l'un des protocoles les plus populaires pour discuter avec les utilisateurs. bots IRC et un logiciel automatisé sont parmi les plus faciles types d'infrastructure contrôlée pirate informatique disponible sur les marchés souterrains de pirates informatiques.
Capacités de virus CowerSnail Linux
L'une des caractéristiques importantes associées au malware CowerSnail Linux est le fait qu'il peut être déployé dans le cadre d'une attaque à grande échelle qui implique plusieurs virus. Un scénario possible serait d'utiliser une autre menace de virus pour rendre l'infection initiale et d'utiliser le cheval de Troie pour effectuer l'espionnage et des actions de contrôle à distance. La principale menace peut récupérer le C&serveurs de C et les commandes associées qui peuvent être alimentés à CowerSnail.
Les experts en sécurité ont découvert qu'une fois que les infections virales ont eu lieu un des composants matériels l'ensemble du système de numérisation est effectuée et les données résultantes sont envoyées aux criminels. Les données recueillies peuvent être utilisées pour les statistiques ou pour découvrir d'autres vulnérabilités dans les dispositifs compromis. On a trouvé les échantillons de virus capturés CowerSnail Linux pour fournir une liste complète des fonctionnalités:
- Mises à jour automatiques - Le code du virus Linux permet CowerSnail les fichiers de mise à jour automatique se quand une nouvelle version est émise par les développeurs.
- Exécution de commandes arbitraires - Une infection CowerSnail actif permet aux opérateurs d'exécuter des commandes à distance de leur choix.
- Installation de service - Le logiciel malveillant peut être déployé comme un service système qui a sévèrement impacts la capacité de les contrôler. Les services sont généralement gérés au démarrage du système et peuvent être modifiés à l'aide des privilèges root que certains utilisateurs de Linux peuvent ne pas être en mesure d'acquérir. Cette méthode d'infection est très similaire aux rootkits dangereux. versions avancées du virus Linux CowerSnail peut même infiltrer le noyau en ajoutant de nouveaux modules pour ce. Les criminels peuvent également demander à l'instance malveillant de se retirer des hôtes infectés.
- La récolte de l'information détaillée - Si les instructions du virus Linux CowerSnail peut aussi extraire des informations supplémentaires sur les machines. Le logiciel malveillant a été trouvé pour être en mesure de recueillir les données suivantes: horodatage d'installation, nom et la version détaillée du système d'exploitation, ordinateur (hôte) nom, détails sur tous les périphériques réseau disponibles, l'interface binaire d'application (AIDE) et le processeur et la mémoire d'informations.
CowerSnail Virus Linux et le cheval de Troie SambaCry (CVE-2017-7494) Connexion
Les opérateurs de virus Linux CowerSnail ont été trouvés pour utiliser le même C&serveurs C comme le cheval de Troie SambaCry. En outre, il semble qu'une partie de la base de code provient du logiciel malveillant. Ceci est un cheval de Troie qui infecte les machines vulnérables à la soi-disant EternalRed ou SambaCry exploiter(CVE-2017-7494). L'avis lit ce qui suit:
Toutes les versions de Samba de 3.5.0 partir sont vulnérables à une vulnérabilité d'exécution de code à distance, permettant à un client malveillant de télécharger une bibliothèque partagée à une part inscriptible, puis que le serveur pour charger et l'exécuter.
Ceci est une faiblesse majeure dans la mise en œuvre du logiciel Samba du protocole SMB qui est utilisé dans les distributions Linux et d'autres systèmes connexes comme Mac OS X. La vulnérabilité des versions affectées qui remontent 2010 et il n'a été patché récemment après que les experts en sécurité ont découvert le bug. Le cheval de Troie SambaCry exécute une commande prédéfinie avec un super-utilisateur (racine) privilèges qui initie le processus d'infection:
- Inverser Shell démarrage - L'analyse de la sécurité montre que la première étape est l'exécution d'une coquille arrière qui se connecte à distance prédéfinie rompre. Cela donne aux attaquants la possibilité de contrôler à distance les hôtes infectés à un moment donné.
- Malware infiltration - Le SambaCry Linux cheval de Troie a été utilisé par les pirates informatiques pour infiltrer les machines dans le monde entier et propager des virus et autres menaces.
- Crypto Monnaie minière - Une grande partie des hôtes infectés ont été signalés pour inclure un mineur de monnaie Crypto Monero. Il est téléchargé à partir d'un hôte distant et démarré sur l'ordinateur hôte. Il utilise les ressources du système à monnaie Crypto mien qui est transféré au porte-monnaie numérique des pirates.
Exploitation minière monnaie numérique est devenue une tendance récente chez les pirates comme un grand réseau de machines infectées peut générer un revenu généreux. Les ingénieurs de sécurité ont découvert qu'un Monero populaire “mineur” outil a été modifié dans la charge utile - il s'exécute automatiquement à l'aide des paramètres hardcoded si aucune lui sont données. Ceci est similaire à la attaque de virus Adylkuzz.
Méfiez-vous des mises à jour supplémentaires de virus CowerSnail Linux
Il se trouve que le virus Linux CowerSnail est une version modifiée d'une menace précédente. Nous partons du principe que le collectif hacker derrière elle va libérer de nouveaux logiciels malveillants à l'avenir aussi bien, car ils ont une expérience de production de virus dangereux.
Les utilisateurs de Linux devraient faire attention lors de l'utilisation de leurs systèmes comme la majorité des infections sont causées par des logiciels vulnérables. mettre à jour en permanence vos ordinateurs et de compter sur les meilleures tactiques de sécurité - le bon sens. Ne pas télécharger ou d'exécuter des scripts ou des logiciels provenant de sources non fiables et vous tenir à jour pour toutes les dernières menaces.