Linux / Rakos est le nom de la dernière forme de malware Linux actuellement sur le lâche. Le logiciel malveillant est conçu pour rechercher des victimes via scan SSH. Le code est écrit dans la langue Go. Le binaire est très probablement compressé en utilisant l'outil UPX norme, les chercheurs disent.
Les utilisateurs se sont plaints que leurs appareils embarqués ont été surchargés de tâches informatiques et de réseau. Le coupable semble être le malware Linux / Rakos.
en relation: Linux / NyaDrop: New Malware sur l'IdO Horizon
Attaques Linux / Rakos Explained
Les attaques sont basées sur des tentatives de force brute à connexions SSH. Voici comment Linux morceaux de logiciels malveillants fonctionnent généralement. Un autre exemple pour une telle attaque est le Linux / Moose. Linux / Rakos peut compromettre les deux appareils et serveurs embarqués avec un port SSH ouvert. Le port est protégé, mais le mot de passe est assez simple et facile à deviner.
Une fois que le malware a repris un dispositif, il peut l'inclure dans un botnet qui sert à diverses activités malveillantes. Pour un, le malware va scanner l'Internet à partir d'une liste restreinte avec des adresses IP, puis il va se propager à d'autres appareils.
en relation: Routeurs Linux.PNScan Malware Brutes-Forces Linux-Based
Qu'est-ce que le malware veut faire est de créer une liste des périphériques non garantis. Ensuite, il serait tenter de créer un botnet constitué d'autant de zombies que possible. L'analyse commencerait une liste limitée d'adresses IP et serait ensuite propagée à plusieurs cibles. Heureusement, seuls les appareils à faible sécurité sont menacés par Linux / Rakos. Qu'est-ce que cela signifie? Certains utilisateurs ont signalé avoir des mots de passe, mais en oubliant de désactiver le service en ligne de leur appareil. Le mot de passe a été modifié pour revenir à un par défaut après une réinitialisation d'usine. Les chercheurs disent que cela se produise seulement quelques heures d'exposition en ligne ont été nécessaires.
Comment fonctionne un système Linux / Rakos Attaque Démarrer?
Le scénario d'attaque commence quand un fichier de configuration est chargé via l'entrée standard au format YAML. Le fichier lui-même a des listes d'information des serveurs de commande et de contrôle. Les listes ont des informations d'identification à utiliser dans les attaques par force brute. Voici un exemple de configuration des logiciels malveillants:
https://github.com/eset/malware-ioc/tree/master/rakos
Qu'est-ce que l'atténuation contre un / Rakos Attaque Linux?
Les chercheurs disent que le malware ne peut pas mettre en place une installation persistante. Cependant, les hôtes ciblés peuvent être attaqués à plusieurs reprises.
dispositifs infectés peuvent être fixés en suivant les étapes ci-dessous, comme conseillé par chercheurs ESET:
- Connectez-vous à votre appareil en utilisant SSH / Telnet;
- Repérez un processus nommé .javaxxx;
- Exécuter des commandes comme netstat ou lsof avec interrupteur -n pour makesure il est responsable des connexions indésirables;
- Recueillir des preuves médico-légales par le dumping de l'espace mémoire du processus correspondant (e.g. avec gcore). On pourrait également récupérer l'échantillon supprimé de / proc avec cp / proc /{pid}/exe {fichier de sortie}
- Terminez le processus avec le -KILL.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: