Lo SpeakUp Linux Trojan è una delle minacce più pericolose nelle ultime settimane in quanto è classificato come un Trojan backdoor silenziosa. E 'in grado di eludere con successo soluzioni di sicurezza attiva e le campagne confermate indicano che è diretto contro le vulnerabilità nelle distribuzioni popolari. Al momento gli attacchi si concentrano soprattutto contro i server in America Latina, Est asiatico e includono casi AWS pure.
La minaccia Speakup Linux Trojan - che cosa sappiamo circa gli attacchi in corso
Il metodo principale attraverso cui avvengono le infezioni è un errore in ThinkkPHP il quale è collegato in CVE-2.018-20.062 consulenza che recita quanto segue:
Un problema è stato scoperto nel NoneCms V1.3. ThinkPHP / library / pensare / app.php permette attaccanti remoti di eseguire codice PHP arbitrario tramite uso artigianale del parametro di filtro, come dimostra la s = indice di / pensare Richiesta / ingresso&filtrare = phpinfo&stringa di dati = 1 interrogazione.
Se un servizio vulnerabile è fatto le Speakup Linux Trojan verrà eseguito una richiesta di rete artigianale che porterà l'infezione di successo. Una caratteristica distintiva è l'esecuzione di uno script basato pitone che può esplorare le macchine raggiungibili sulla rete locale. Questo viene fatto al fine di cercare specifiche vulnerabilità - il codice malware tenterà di infettare i loro tentando di innescare codice in modalità remota i bug di esecuzione. L'attuale campagna si rivolge le seguenti vulnerabilità:
- CVE-2012-0874 - JBoss Enterprise Application Platform multipla Security Bypass Vulnerabilities
- CVE-2010-1871 - JBoss Seam Framework esecuzione di remoto codice
- JBoss AS 3/4/5/6 - esecuzione remota di comando
- CVE-2.017-10.271 - Oracle WebLogic WLS-WSAT Componente deserializzazione RCE
- CVE-2018-2894 - Una vulnerabilità nel componente di Oracle WebLogic Server di Oracle Fusion Middleware
- Hadoop FILATO ResourceManager - esecuzione di comandi
- CVE-2016-3088 - File Apache ActiveMQ Fileserver Carica vulnerabilità legata all'esecuzione di codice in modalità remota
Abbiamo ricevuto la conferma che gli attacchi attuali sono impostati contro le macchine situate in Asia orientale e America Latina. I ricercatori hanno anche scoperto che AWS ha ospitato servizi sono stati anche colpiti. Cosa c'è di più pericoloso è che a causa del fatto che il codice è scritto utilizzando il codice corretto può anche infettare le macchine Mac.
Le capacità di infezione SpeakUp Linux di Troia e comportamento osservato
Non appena è stato fatto un tentativo di infiltrazione di successo lo script dannoso tirerà un LBUS payload che deve essere iniettato nel “tmp” posizione. Da lì in poi la backdoor reale sarà eseguito. E 'programmato per recuperare uno script Perl da un server remoto ed eseguirlo dopo un ritardo di due secondi. Il file originale verrà rimosso in modo da rendere impossibile scoprire l'evidenza e la via di infezione. Questo payload di secondo stadio eseguirà le sue funzioni previste utilizzando memoria codificati - questo è fatto in modo da rendere impossibile per l'analisi di farlo senza decodificare il flusso in tempo reale.
effettivamente un by-pass di sicurezza viene applicata sui computer vittima - l'installazione dei virus è in ritardo, che va in giro per le euristiche di scansione tipica fatto da programmi antivirus. Inoltre le operazioni di memoria sono codificati il software di sicurezza può non essere in grado di leggere i processi e identificare che una minaccia è presente. Efficacemente questa strategia può può essere usato per rimuovere i motori o le applicazioni del tutto. L'elenco dei programmi che devono essere colpiti includono programmi anti-virus, firewall, sistemi di rilevamento delle intrusioni, virtual host di macchine e ambienti sandbox.
L'obiettivo principale del SpeakUp Linux Trojan è quello di stabilire una connessione sicura a un server degli hacker controllato. Esso consente essenzialmente i criminali di eseguire comandi, molti dei quali sono integrati nel motore. Tutti hanno bisogno è di passare semplicemente sulla argomento obbligatorio a un servizio locale. L'analisi mostra che la comunicazione avviene ad intervalli regolari che sono etichettati come “urti”. Lo SpeakUp Linux Trojan farà in modo che solo una singola istanza è in esecuzione in un momento specificando un interno firma mutex. Molti dei comandi disponibili agli operatori di hacker sono stati catturati tramite analisi di rete:
- nuovo compito - Questo comando verrà eseguito un codice di hacker caricati o file sulla macchina infetta. E 'anche usato per istruire i padroni di casa in scaricare ed eseguire un file da un servizio remoto. Altri compiti possibili includono l'uccisione dei processi in esecuzione o disinstallazione. Un rapporto sullo stato up-to-data può anche essere richiesto dalle macchine.
- non chiedere - Questo dormirà l'istanza SpeakUp Linux Trojan locale e il follow-up del server per l'avvio di comandi aggiuntivi.
- newerconfig - Questo aggiornerà il file di configurazione.
Sembra che uno degli obiettivi principali è quello di distribuire un criptovaluta minatore. Questa è una tendenza in questi ultimi anni in cui queste piccole dimensioni applicazioni sfruttare le risorse hardware eseguendo attività ad alta intensità. Essi mettere un carico pesante sulla CPU, GPU, memoria e spazio su disco rigido. Ogni volta che uno di loro è completa gli operatori degli hacker riceveranno moneta digitale che verrà collegato direttamente ai loro portafogli.
Ricordiamo ai nostri lettori che tali informazioni soltanto la rappresenta la versione corrente e le attività dei campioni di virus come configurato nel presente. E 'possibile che le versioni future avranno un modello di comportamento molto diverso.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: