Il y a un nouveau Linux Trojan, surnommé Linux / NyaDrop, et il est déjà reverse engineering par MalwareMustDie. Ceci est en fait le même chercheur a découvert que Mirai. Le botnet Mirai IdO a été utilisé dans de multiples attaques et avait un taux d'infection global. L'apparition d'un nouveau malware Linux peut être expliqué par le fait que le code source Mirai a été divulgué pas trop longtemps.
En savoir plus sur Linux / NyaDrop
La recherche de MalwareMustDie indique que Linux / NyaDrop a été utilisé dans les attaques par force brute sur les ports Telnet, Softpedia rapports. Initialement, le logiciel malveillant était plutôt simpliste, mais son code a progressé depuis les attaques DDoS sur KrebsOnSecurity. L'opérateur des programmes malveillants(s) doivent avoir été attirés par le succès du botnet Mirai IdO.
De même pour les logiciels malveillants moyenne IdO, attaques NyaDrop sont basés sur les appareils connectés à Internet IdO-force brute via leurs informations d'identification par défaut.
Détails techniques
Le cheval de Troie est assez petite taille et qui est parce qu'il est un compte-gouttes. Un compte-gouttes est un morceau de logiciel malveillant ne déployé pour télécharger d'autres logiciels malveillants sur un système. Ceci est peut-être la première fois que des chercheurs viennent à travers les logiciels malveillants IdO qui utilise un compte-gouttes. Sont droppers une pratique courante pour les logiciels malveillants de bureau et sont une partie typique de l'attaque des logiciels malveillants moyenne.
Pourquoi NyaDrop? Le nom provient du malware réel qui peut être abandonné - un binaire ELF surnommé « Nya ».
En ce qui concerne une infection malware réussie, le chercheur donne l'explication suivante:
Le fichier malware installé avec succès dans le système MIPS est le porte dérobée Malware Linux et compte-gouttes, Je l'appelle comme les logiciels malveillants ELF Linux / NyaDrop, avec la fonction d'ouvrir une prise Internet(AF_INET) se connecter à distance à l'hôte distant pour recevoir des données d'un flux exécutable Linux destiné à infecter la machine précédemment compromise Linux / NyaDrop.
Lorsque l'infection est réussie, NyaDrop ouvrira une porte dérobée et télécharger Nya cheval de Troie, mais seulement si le dispositif IdO utilise une architecture MIPS 32 bits pour son CPU. Processeurs MIPS sont typiques pour les appareils tels que les routeurs, DVRs, caméra de surveillance, systèmes embarqués en général.
Le pire est que les versions encore à être libérés de NyaDrop peuvent être déployés dans une série de scénarios malveillants. Pour un, de nouvelles charges utiles peuvent être téléchargées sur les appareils infectés. Le nouveau malware peut être utilisé pour lancer des attaques DDoS ou peut être utilisé comme proxy pour le trafic Web, dissimulant ainsi l'emplacement réel de l'attaquant.
Tous ces « trucs » employés par le créateur de NyaDrop révèlent un programme bien pensé. Le pirate est en train de faire tout ce qu'ils ne peuvent pas se faire prendre. En outre, NyaDrop peut même détecter des environnements honeypot. L'exécution du programme malveillant sera arrêté si un tel environnement est détecté. L'auteur de logiciels malveillants a également pris soin de la façon dont se propage autour NyaDrop. Voilà pourquoi MalwareMustDie dit qu'il a de la chance d'avoir « acquis » un échantillon en vue de l'ingénierie inverse.
Plus détails techniques