Une nouvelle souche de malware Linux a été détecté. Surnommé Linux / shishiga, le logiciel malveillant pourrait se transformer en une pièce dangereuse de logiciels malveillants. Linux / shishiga a été officiellement découvert et examiné par des chercheurs de Eset.
"Parmi tous les échantillons Linux que nous recevons tous les jours, nous avons remarqué un échantillon détecté que par Dr.Web - leur nom de détection était Linux.LuaBot," les chercheurs a écrit. Après avoir analysé ce, ils ont découvert qu'il était en effet un bot écrit dans le langage de script Lua léger, mais est en fait une toute nouvelle famille, non liés à des logiciels malveillants connus de Luabot. Ainsi, le logiciel malveillant a été donné un nouveau nom - Linux / shishiga. Le logiciel malveillant utilise quatre protocoles différents, SSH, Telnet, HTTP, et BitTorrent, et les scripts Lua pour la modularité.
en relation: Protégez votre appareil Linux depuis Exploits et Malware
Systèmes ciblés par Linux / shishiga
cible Linux / shishiga systèmes GNU / Linux. Le processus d'infection est initiée par une technique largement abusé: Forçage brute références faibles à l'aide d'une liste de mots de passe. Un autre morceau de malware, Linux / Moose, a été connu pour faire de la même manière. Cependant, Shishiga a une capacité ajoutée à la force brute des informations d'identification SSH. Les chercheurs ont trouvé plusieurs binaires pour les logiciels malveillants pour diverses architectures communes pour les appareils IdO (telles que MIPS, BRAS, i686, PowerPC). autres architectures, cependant, peut être pris en charge aussi bien (SPARC, SH-4 ou m68k).
Linux / shishiga Description Technique
Shishiga est un binaire emballé avec l'outil UPX (packer ultime pour les fichiers exécutables) qui peut avoir du mal à déballer comme les logiciels malveillants ajoute des données à la fin du fichier compressé. Une fois décompressé, il sera lié statiquement à la bibliothèque d'exécution Lua et sera dépouillé de tous les symboles.
Des chercheurs ont observé certaines parties du malware avoir été réécrite au cours des deux dernières semaines. D'autres modules de test ont été ajoutés, trop, et les fichiers redondants ont été supprimés.
Les chercheurs pensent également que la combinaison d'utiliser un langage de script Lua et reliant statiquement avec la bibliothèque interprète Lua est intrigante. Cette combinaison pourrait signifier deux choses - que les assaillants ont hérité du code et a décidé de l'adapter pour diverses architectures ciblées. Ou ils ont choisi cette langue car il est facile à utiliser.
en relation: Routeurs Linux.PNScan Malware Brutes-Forces Linux-Based
Il y a certainement tout à fait quelques similitudes avec les instances de LuaBot mais les chercheurs croient Linux / shishiga d'être différent. Le logiciel malveillant devrait évoluer et devenir plus répandue, même si le nombre de victimes est faible jusqu'à présent. Les modifications constantes de code sont une indication claire que le logiciel malveillant est amélioré.
En conclusion, Linux / shishiga pourrait sembler être comme la plupart des logiciels malveillants Linux, la diffusion par la faiblesse des informations d'identification Telnet et SSH, mais la mise en œuvre du protocole BitTorrent et modules Lua rend assez unique. BitTorrent a été utilisé dans Hajime, la ver d'inspiration Mirai, et il peut ainsi devenir plus populaire dans les mois à venir.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: