Casa > Cyber ​​Notizie > CowerSnail Linux Virus connesso a SambaCry CVE-2017-7494
CYBER NEWS

Virus CowerSnail Linux Collegato al SambaCry CVE-2017-7494

immagine Virus CowerSnail Linux

I ricercatori di sicurezza rilevato il virus CowerSnail Linux in un'indagine in corso attacchi degli hacker su larga scala. Secondo l'analisi i criminali dietro il malware sono anche responsabili Troiani SambaCry che sfruttano la vulnerabilità CVE-2017-7494.

Story correlati: Il server di distribuzioni Linux in migliori 2017

Che cosa è il virus CowerSnail Linux

Il malware è stato rilevato CowerSnail in una campagna di attacco in corso diretto da un gruppo di hacker. È specificamente realizzati per indirizzare il sistema operativo open-source come viene compilato utilizzando il toolkit QT - uno dei più diffusi framework di sviluppo compatibili con l'ecosistema Linux. Uno dei vantaggi chiave è che una volta fatto il virus CowerSnail Linux può essere portato su altri sistemi operativi come pure: Mac OS X, Microsoft Windows e diverse piattaforme embedded (Integrità, QNX e VxWorks) per esempio. Le versioni attuali sono legati a diverse librerie che vengono utilizzati dai componenti del sistema Linux, se vengono modificati in un'iterazione piattaforme allora la porta sarebbe facile da programmare. Questo viene fornito con un prezzo riflettuto sulla dimensione del file. Come tutti i componenti sono integrati nel virus eseguibile la dimensione risultante è di circa 3 MB. Questo rende molto difficile per distribuire in modo efficace tramite alcune delle tattiche spread popolari.

L'analisi di sicurezza rivela che i campioni di virus CowerSnail Linux catturati dimostrano il seguente schema di infezione:

  1. Quando il virus CowerSnail Linux viene eseguito il software tenta automaticamente di elevare la priorità del thread in esecuzione e l'applicazione stessa.
  2. Successivamente un'API chiamata StartServiceCtrlDispatcher che stabilisce una connessione con telecomando hacker azionato C&C (comando e controllo) server. Questo trasforma in modo efficace il virus CowerSnail Linux in un Trojan pericoloso come le comunicazioni di rete sono stabiliti nella fase precoce di infezione.
  3. Se ciò non riesce CowerSnail può anche accettare azioni predefinite e accetta variabili come l'input dell'utente. Efficacemente CowerSnail può essere installato come un payload secondario e configurabile da un'altra minacce.
  4. I padroni di casa infetti vengono segnalati alla C&server C tramite il protocollo IRC, che è uno dei protocolli più popolari per chattare con gli utenti. bot IRC e software automatici sono tra i più facili tipi di infrastrutture di hacker controllato disponibili sui mercati sotterranei degli hacker.

Funzionalità Virus CowerSnail Linux

Una delle caratteristiche importanti associati con il malware CowerSnail Linux è il fatto che esso può essere implementato come parte di un attacco su larga scala che coinvolge diversi virus. Uno scenario possibile potrebbe essere quella di utilizzare un altro minaccia di virus per rendere l'infezione iniziale e utilizzare il Trojan per lo svolgimento di spionaggio e azioni di controllo a distanza. La minaccia principale può recuperare la C&server C ei comandi associati che possono essere somministrate agli CowerSnail.

Gli esperti di sicurezza hanno scoperto che una volta che le infezioni da virus hanno avuto luogo a componenti hardware a livello di sistema scansione viene eseguita ed i dati risultanti vengono inviati ai criminali. I dati raccolti possono essere utilizzati per le statistiche o per scoprire altre vulnerabilità nei dispositivi compromessi. I campioni di virus CowerSnail Linux catturati sono stati trovati per fornire un ampio elenco di caratteristiche:

  • Aggiornamenti automatici - Il codice del virus CowerSnail Linux permette ai file di auto si aggiornano quando una nuova versione viene rilasciato dagli sviluppatori.
  • Esecuzione di comandi arbitrari - Un'infezione CowerSnail attiva consente agli operatori remoti di eseguire comandi di loro scelta.
  • Servizio di installazione - Il malware può essere distribuito come un servizio di sistema che ha fortemente impatti la capacità di controllarli. I servizi sono di solito eseguire all'avvio del sistema e possono essere modificati utilizzando i privilegi di root, che alcuni utenti Linux potrebbero non essere in grado di acquisire. Questo metodo di infezione è molto simile ai rootkit pericolosi. versioni avanzate del virus CowerSnail Linux possono anche infiltrarsi nel kernel con l'aggiunta di nuovi moduli ad esso. I criminali possono anche istruire l'istanza dannoso per rimuovere se stesso dagli host infetti.
  • Informazioni dettagliate raccolta - Se istruito il virus CowerSnail Linux può anche estrarre ulteriori informazioni sulle macchine. Il malware è stato trovato per essere in grado di raccogliere i seguenti dati: timestamp di installazione, dettagliata nome del sistema operativo e la versione, computer (ospite) nome, dettagli su tutti i dispositivi di rete disponibili, l'interfaccia binaria dell'applicazione (AIUTO) e le informazioni processore e la memoria.

Virus CowerSnail Linux e il SambaCry Trojan (CVE-2017-7494) Connessione

immagine Virus Trojan SambaCry

Gli operatori virus CowerSnail Linux sono stati trovati per utilizzare lo stesso C&server C come SambaCry Trojan. Inoltre sembra che parte del codice di base provengono da malware. Questo è un Trojan che infetta le macchine vulnerabili alla cosiddetta EternalRed o SambaCry sfruttano(CVE-2017-7494). L'advisory legge la seguente:

Tutte le versioni di Samba da 3.5.0 poi sono vulnerabili ad una vulnerabilità?, permettendo un client dannoso per caricare una libreria condivisa a una condivisione scrivibile, e quindi causare il server per caricare ed eseguirlo.

Questa è una delle principali debolezze nell'implementazione software Samba del protocollo SMB, che viene utilizzato in entrambe le distribuzioni Linux e di altri sistemi come Mac OS X. Le versioni di vulnerabilità colpite che risalgono 2010 ed è recentemente stato aggiornato solo dopo che gli esperti di sicurezza hanno scoperto il bug. Il SambaCry Trojan esegue un comando predefinito con super-utente (radice) privilegi che avvia il processo di infezione:

  1. Reverse Avvio della Shell - L'analisi di sicurezza mostra che la prima fase è la realizzazione di un guscio inversa che si connette a predefiniti server remoto. Questo dà gli attaccanti la possibilità di controllare a distanza gli host infetti in un dato momento.
  2. Malware Infiltration - Il SambaCry Linux Trojan è stato utilizzato da hacker di infiltrarsi macchine in tutto il mondo e diffondere virus e altre minacce.
  3. Crypto valuta Mining - Una gran parte dei padroni di casa infetti sono stati segnalati per includere un Monero cripto minatore di valuta. Esso viene scaricato da un host remoto e avviato sul computer host. Esso utilizza le risorse di sistema per la mia moneta Crypto, che viene trasferito al portafoglio digitale degli hacker.

Mining moneta digitale è diventata una tendenza recente tra gli hacker come una grande rete di computer infetti in grado di generare un reddito generoso. Gli ingegneri della sicurezza hanno scoperto che una Monero popolare “minatore” strumento è stato modificato nel payload - esso si esegue automaticamente utilizzando i parametri hardcoded se nessuno è dato ad essa. Questo è simile alla attacco del virus Adylkuzz.

Story correlati: Il 10 Le migliori metodi su come migliorare Linux Security

Attenzione per ulteriori aggiornamenti dei virus CowerSnail Linux

Come si è visto che il virus CowerSnail Linux è una versione modificata di una minaccia precedente. Partiamo dal presupposto che il collettivo di hacker dietro di esso sta per rilasciare nuovi malware in futuro pure, in quanto hanno un track record di produzione di virus pericolosi.

Gli utenti Linux devono fare attenzione quando si usano i loro sistemi, come la maggior parte delle infezioni sono causate da un software vulnerabili. Costantemente aggiornare i computer e si basano sulle migliori tattiche di sicurezza - il buon senso. Non scaricare o eseguire script o software provenienti da fonti inaffidabili e tieniti aggiornato per tutte le minacce più recenti.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo