Linux / Rakos è il nome della più recente forma di Linux il malware attualmente a piede libero. Il malware è progettato per la ricerca di vittime tramite scansione SSH. Il codice è scritto nel linguaggio Go. Il binario è più probabile compresso utilizzando lo strumento standard UPX, dicono i ricercatori.
Gli utenti si sono lamentati che i loro dispositivi embedded sono stati sovraccaricati di attività di elaborazione e di rete. Il colpevole sembra essere il malware Linux / Rakos.
Correlata: Linux / NyaDrop: Nuovo malware sul IoT Horizon
Attacchi Linux / Rákos Explained
Gli attacchi si basano su tentativi di forza bruta in login SSH. Questo è il modo di Linux pezzi di malware operano tipicamente. Un altro esempio di questo tipo di attacco è il Linux / Moose. Linux / Rakos può compromettere entrambi i dispositivi e server integrati con una porta SSH aperto. La porta è protetta ma la password è abbastanza semplice e facile da indovinare.
Una volta che il malware ha preso più di un dispositivo, può includere in una botnet che serve per le varie attività dannose. Per un, il malware eseguirà la scansione del Internet da un elenco limitato di indirizzi IP, e poi si sé diffuso ad altri dispositivi.
Correlata: I router Linux.PNScan Malware bruta Forze basati su Linux
Ciò che il malware vuole fare è creare un elenco dei dispositivi non garantiti. Poi sarebbe tentare di creare una botnet composta da quanti più zombie possibili. La scansione inizierebbe un elenco limitato di indirizzi IP e sarebbe poi diffuso a più bersagli. Per fortuna, solo i dispositivi a bassa sicurezza sono in pericolo da Linux / Rakos. Che cosa significa questo? Alcuni utenti hanno segnalato avere password sicure ma dimenticando di disattivare il servizio on-line del proprio dispositivo. La password è stata modificata di nuovo ad un default dopo un reset di fabbrica. I ricercatori dicono che questo accada sono stati necessari solo diverse ore di esposizione on-line.
Come funziona un / Rakos attacco di avvio Linux?
Lo scenario di attacco inizia quando un file di configurazione viene caricato tramite standard input in formato YAML. Il file stesso ha elenchi di informazioni di server di comando e controllo. Le liste hanno le credenziali da utilizzare negli attacchi di forza bruta. Ecco un esempio di configurazione del malware:
https://github.com/eset/malware-ioc/tree/master/rakos
Qual è la mitigazione contro un / Attacco Rakos Linux?
I ricercatori dicono che il malware non può impostare una installazione permanente. Ciò nonostante, i padroni di casa mirati possono essere attaccati più volte.
dispositivi infetti possono essere fissati seguendo le istruzioni riportate di seguito, come consigliato dal ricercatori ESET:
- Collegate al dispositivo usando SSH / Telnet;
- Individuare un processo chiamato .javaxxx;
- eseguire comandi come netstat o lsof con interruttore -n per makesure è responsabile di connessioni indesiderate;
- Raccogliere prove forensi dal dumping lo spazio di memoria del processo corrispondente (e.g. con gcore). Si potrebbe anche recuperare il campione cancellati da / proc con cp / proc /{pid}/exe {file di uscita}
- Terminare il processo con il -KILL.