È stato rilevato un nuovo ceppo di Linux di malware. Soprannominato Linux / Shishiga, il malware potrebbe trasformare in un pezzo pericoloso malware. Linux / Shishiga è stato ufficialmente scoperto ed esaminato dai ricercatori Eset.
"Tra tutti i campioni di Linux che riceviamo ogni giorno, abbiamo notato un campione rilevato solo da Dr.Web - il loro nome rilevamento era Linux.LuaBot,”i ricercatori ha scritto. Dopo hanno analizzato lo, hanno scoperto che si trattava effettivamente di un bot scritto nel linguaggio di scripting Lua leggero, ma è in realtà una famiglia nuova di zecca, non legati alla nota di malware Luabot. Così, il malware è stato dato un nuovo nome - Linux / Shishiga. Il malware utilizza quattro diversi protocolli, SSH, Telnet, HTTP, e BitTorrent, e script Lua per modularità.
Correlata: Proteggi il tuo dispositivo Linux da exploit e malware
Sistemi mirati da Linux / Shishiga
Linux / Shishiga obiettivi sistemi GNU / Linux. Il processo di infezione viene avviata tramite una tecnica largamente abusata: bruta costringendo le credenziali deboli utilizzando una lista di password. Un altro pezzo di minacce informatiche, Linux / Moose, è stato conosciuto per fare questo in modo simile. Tuttavia, Shishiga ha una capacità aggiunto alla forza bruta credenziali SSH. I ricercatori hanno scoperto diversi binari per il malware per varie architetture comuni per i dispositivi IoT (come MIPS, BRACCIO, i686, PowerPC). altre architetture, tuttavia, possono essere supportati pure (SPARC, SH-4 o m68k).
Descrizione Linux / Shishiga tecnico
Shishiga è un binario imballato con lo strumento UPX (packer finale per i file eseguibili) che possono avere problemi disimballaggio come il malware aggiunge i dati alla fine del file compresso. Una volta scompattato, essa sarà collegata in modo statico con la libreria di runtime Lua e sarà spogliato di tutti i simboli.
ricercatori hanno osservato alcune parti del malware sono state riscritte nel corso degli ultimi paio di settimane. Sono stati aggiunti altri moduli di test, troppo, e file ridondanti sono stati rimossi.
I ricercatori ritengono inoltre che la combinazione di usare un linguaggio di scripting Lua e staticamente collegandola con la libreria interprete Lua è intrigante. Questa combinazione potrebbe significare due cose - che gli aggressori hanno ereditato il codice e ha deciso di adattare per varie architetture mirati. O hanno scelto questo linguaggio perché è facile da usare.
Correlata: I router Linux.PNScan Malware bruta Forze basati su Linux
Ci sono sicuramente un bel paio di analogie con casi LuaBot ma i ricercatori ritengono che Linux / Shishiga di essere diversi. Il malware si prevede di evolversi e diventare più diffusa, anche se il numero delle vittime è basso finora. Le modifiche costanti di codice sono una chiara indicazione che il malware viene migliorata.
Insomma, Linux / Shishiga potrebbe sembrare come la maggior parte del malware Linux, diffonde attraverso credenziali Telnet e SSH deboli, ma l'implementazione del protocollo BitTorrent e moduli Lua rende alquanto unico. BitTorrent è stato utilizzato in Hajime, il verme Mirai di ispirazione, e, quindi, può diventare più popolare nei mesi a venire.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: