Accueil > Nouvelles Cyber > Dangerous Speakup Linux Trojan s'implante silencieusement via CVE-2018-20062
CYBER NOUVELLES

Dangereux speakup Linux Implants cheval de Troie se Silencieusement Via CVE-2018-20062

Le cheval de Troie SpeakUp Linux est l'une des menaces les plus dangereuses au cours des dernières semaines, il est classé comme un cheval de Troie de porte dérobée silencieuse. Il est capable d'échapper avec succès des solutions de sécurité active et les campagnes confirmées indiquent qu'il est dirigé contre les vulnérabilités dans les distributions populaires. Au moment où les attaques se concentrent principalement sur des serveurs en Amérique latine, Asie de l'Est et comprennent aussi bien des cas AWS.




La menace Speakup Linux Troie - Ce que nous savons sur les attaques en cours

La principale méthode par laquelle les infections sont faits d'un bogue dans ThinkkPHP qui est suivie dans le CVE-2018-20062 consultatif qui lit ce qui suit:

Un problème a été découvert dans NoneCms V1.3. ThinkPHP / bibliothèque / penser / app.php permet attaquants distants d'exécuter du code PHP arbitraire via l'utilisation du paramètre conçu de filtre, comme le montre l'indice s = / penser Request / input&filtrer = phpinfo&data = 1 chaîne de requête.

Si un service vulnérable est fait le cheval de Troie Linux Exprime-toi exécutera une demande de réseau conçu qui conduira à l'infection réussie. Une caractéristique distincte est l'exécution d'un script basé sur Python qui permet de numériser les machines accessibles sur le réseau local. Ceci est fait afin de rechercher des vulnérabilités spécifiques - le code malveillant tente de les infecter en essayant de déclencher des bugs d'exécution de code à distance. La campagne actuelle vise les vulnérabilités suivantes:

  • CVE-2012-0874 - JBoss Enterprise Application Platform Multiple Security Bypass Vulnerabilities
  • CVE-2010-1871 - Cadre JBoss Seam exécution de code à distance
  • JBoss AS 3/4/5/6 - Exécution de commande à distance
  • CVE-2017-10271 - Oracle WebLogic WLS-wsat Component Désérialisation RCE
  • CVE-2018-2894 - Une vulnérabilité dans le composant Oracle WebLogic Server Oracle Fusion Middleware
  • Hadoop YARN ResourceManager - Exécution de commande
  • CVE-2016-3088 - Apache ActiveMQ Fileserver File Télécharger de code à distance vulnérabilité d'exécution

Nous avons reçu la confirmation que les attaques actuelles sont fixées contre les machines situées en Asie de l'Est et en Amérique latine. Les chercheurs ont également découvert que AWS services hébergés ont également été touchés. Ce qui est plus dangereux est que, en raison du fait que le code est écrit en utilisant le code approprié il peut aussi infecter les ordinateurs Mac.

en relation: [wplinkpreview url =”https://sensorstechforum.com/major-ubuntu-18-04-updat/”]Major Ubuntu 18.04 Mise à jour introduit deux autres vulnérabilités

Les capacités d'infection SpeakUp Linux Troie et comportement Observé

Dès qu'une tentative d'infiltration réussie a été le script malveillant va tirer un charge utile LBUS qui doit être injecté dans le “tmp” emplacement. A partir de là sur la porte dérobée réelle sera exécuté. Il est programmé pour récupérer un script Perl à partir d'un serveur distant et l'exécuter après un délai de deux secondes. Le fichier original sera supprimé afin de rendre impossible de trouver les éléments de preuve et de la voie d'infection. Cette charge utile du second étage remplit sa fonction en utilisant la mémoire destinées encodée - ceci est fait pour rendre impossible l'analyse à faire sans décoder le flux en temps réel.

en effet un by-pass de sécurité est appliquée sur les ordinateurs des victimes - l'installation du virus est retardée qui va autour des heuristiques typiques scan effectué par les programmes antivirus. De plus que les opérations de mémoire sont codées le logiciel de sécurité peut ne pas être en mesure de lire les processus et identifier qu'une menace est présente. En effet cette stratégie peut être utilisée pour éliminer les moteurs ou les applications tout à fait. La liste des programmes qui doivent être affectés comprennent les programmes antivirus, pare-feu, Les systèmes de détection d'intrusion, des hôtes de machines virtuelles et des environnements de bac à sable.

L'objectif principal de la SpeakUp Linux Troie est d'établir une connexion sécurisée à un serveur contrôlé hacker. Il permet essentiellement les criminels d'exécuter des commandes, dont beaucoup sont intégrés dans le moteur. Il leur suffit de passer simplement sur l'argument requis au service local. L'analyse montre que la communication se fait à intervalles réguliers qui sont étiquetés comme “coups”. Le cheval de Troie SpeakUp Linux fera en sorte qu'une seule instance est en cours d'exécution à un moment en spécifiant une interne signature mutex. Plusieurs des commandes qui sont disponibles pour les opérateurs de pirates ont été capturés par l'analyse de réseau:

  • nouvelle tâche - Cette commande exécutera un code téléchargé pirate informatique ou un fichier sur la machine infectée. Il est également utilisé pour instruire les hôtes en téléchargeant et en exécutant un fichier à partir d'un service à distance. D'autres tâches possibles comprennent le meurtre des processus en cours d'exécution ou de les désinstaller. Un état à jour le rapport peut également être demandé aux machines.
  • ne pas demander - Ce dormira l'instance locale SpeakUp Linux Troie et le suivi du serveur pour le démarrage des commandes supplémentaires.
  • newerconfig - Cela mettra à jour le fichier de configuration.

Il semble que l'un des principaux objectifs est de déployer un mineur crypto-monnaie. Cette tendance au cours des dernières années où ces applications de petite taille profiteront des ressources matérielles en exécutant des tâches intensives. Ils placeront une lourde charge sur le CPU, GPU, la mémoire et de l'espace de disque dur. Chaque fois que l'un d'eux est complète les opérateurs de pirates recevront une monnaie numérique qui sera relié directement à leur porte-monnaie.

Nous rappelons à nos lecteurs que cette information représente simplement la la version actuelle et les activités des échantillons de virus tel que configuré dans le présent. Il est possible que les versions futures auront un modèle de comportement très différent.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord