セキュリティ研究者は、大規模なハッカー攻撃の進行中の調査で、CowerSnailLinuxウイルスを検出しました. 分析によると、マルウェアの背後にいる犯罪者は、CVE-2017-7494の脆弱性を悪用するSambaCryトロイの木馬にも責任があります.
CowerSnailLinuxウイルスとは何ですか
CowerSnailマルウェアは、ハッカーグループが指示した進行中の攻撃キャンペーンで検出されました. Linuxエコシステムと互換性のある最も広く使用されている開発フレームワークの1つであるQTツールキットを使用してコンパイルされるため、オープンソースオペレーティングシステムをターゲットにするように特別に作成されています。. 主な利点の1つは、一度作成されたCowerSnailLinuxウイルスを他のオペレーティングシステムにも移植できることです。: Mac OS X, MicrosoftWindowsといくつかの組み込みプラットフォーム (威厳, QNXとVxWorks) 例えば. 現在のバージョンは、Linuxシステムコンポーネントで使用されるいくつかのライブラリにリンクされています, それらがクロスプラットフォームのイテレーションに変更された場合、ポートは簡単にプログラミングできます. これには、ファイルサイズに反映された価格が付属しています. すべてのコンポーネントがウイルス実行可能ファイルに組み込まれているため、結果のサイズは約 3 MB. これにより、人気のある拡散戦術のいくつかを介して効果的に配布することが非常に困難になります.
セキュリティ分析により、キャプチャされたCowerSnailLinuxウイルスサンプルが次の感染パターンを示していることが明らかになりました:
- CowerSnail Linuxウイルスが実行されると、ソフトウェアは実行中のスレッドとアプリ自体の優先度を自動的に上げようとします.
- その後、APIと呼ばれる StartServiceCtrlDispatcher リモートハッカー操作のCとの接続を確立します&C (コマンドと制御) サーバー. これにより、感染の初期段階でネットワーク通信が確立されるため、CowerSnailLinuxウイルスが危険なトロイの木馬に効果的に変わります。.
- これが失敗した場合、CowerSnailは事前定義されたアクションを受け入れ、ユーザー入力として変数を受け入れることもできます. 事実上、CowerSnailはセカンダリペイロードとしてインストールでき、別のマルウェアによって構成できます.
- 感染したホストはCに報告されます&ユーザーとチャットするための最も一般的なプロトコルの1つであるIRCプロトコルを介したCサーバー. IRCボットと自動ソフトウェアは、ハッカーの地下市場で利用できる最も簡単なタイプのハッカー制御インフラストラクチャの1つです。.
CowerSnailLinuxウイルス機能
CowerSnail Linuxマルウェアに関連する重要な機能の1つは、複数のウイルスが関与する大規模な攻撃の一部として展開できるという事実です。. 考えられるシナリオは、別のウイルスの脅威を使用して最初の感染を引き起こし、トロイの木馬を利用してスパイやリモートコントロールアクションを実行することです。. 主な脅威はCを取得できます&CowerSnailにフィードできるCサーバーと関連コマンド.
セキュリティの専門家は、ウイルス感染が発生すると、システム全体のハードウェアコンポーネントのスキャンが実行され、結果のデータが犯罪者に送信されることを発見しました。. 収集されたデータは、統計に使用したり、侵害されたデバイスの他の脆弱性を発見したりするために使用できます. キャプチャされたCowerSnailLinuxウイルスのサンプルは、機能の広範なリストを提供することがわかりました。:
- 自動的にアップデート – CowerSnail Linuxウイルスコードを使用すると、開発者が新しいバージョンを発行したときに、ファイルが自動的に更新されます。.
- 任意のコマンド実行 –アクティブなCowerSnail感染により、リモートオペレーターは選択したコマンドを実行できます.
- サービスのインストール –マルウェアは、マルウェアを制御する機能に深刻な影響を与えるシステムサービスとして展開できます. サービスは通常、システムの起動時に実行され、一部のLinuxユーザーが取得できないroot権限を使用して変更できます。. この感染方法は、危険なルートキットと非常によく似ています。. 高度なバージョンのCowerSnailLinuxウイルスは、新しいモジュールを追加することでカーネルに侵入することさえあります。. 犯罪者は、悪意のあるインスタンスに、感染したホストから自分自身を削除するように指示することもできます。.
- 詳細情報ハーベスティング –指示された場合、CowerSnailLinuxウイルスはマシンに関する追加情報を抽出することもできます. このマルウェアは、次のデータを収集できることが判明しています。: インストールのタイムスタンプ, 詳細なオペレーティングシステムの名前とバージョン, コンピューター (ホスト) 名前, 利用可能なすべてのネットワークデバイスに関する詳細, アプリケーションバイナリインターフェイス (ABI) およびプロセッサとメモリの情報.
CowerSnailLinuxウイルスとSambaCryトロイの木馬 (CVE-2017-7494) 繋がり
CowerSnailLinuxウイルスオペレーターは同じCを使用することがわかっています&SambaCryトロイの木馬としてのCサーバー. さらに、コードベースの一部はマルウェアに由来しているようです. これは、いわゆる脆弱なマシンに感染するトロイの木馬です。 EternalRedまたはSambaCryエクスプロイト(CVE-2017-7494). アドバイザリは以下を読みます:
からのSambaのすべてのバージョン 3.5.0 以降は、リモートでコードが実行される脆弱性に対して脆弱です。, 悪意のあるクライアントが共有ライブラリを書き込み可能な共有にアップロードできるようにする, 次に、サーバーにロードして実行させます.
これは、LinuxディストリビューションとMacOSXなどの他の関連システムの両方で使用されるSMBプロトコルのSambaソフトウェア実装の主な弱点です。. この脆弱性は、過去のバージョンに影響を及ぼしました 2010 また、セキュリティの専門家がバグを発見した後、最近パッチが適用されました。. SambaCryトロイの木馬は、スーパーユーザーで事前定義されたコマンドを実行します (根) 感染プロセスを開始する特権:
- 逆シェル起動 –セキュリティ分析は、最初の段階が事前定義されたリモートサーバーに接続するリバースシェルの実行であることを示しています. これにより、攻撃者はいつでも感染したホストをリモート制御できるようになります。.
- マルウェアの侵入 – SambaCry Linuxトロイの木馬は、コンピューターハッカーによって世界中のマシンに侵入し、追加のウイルスや脅威を拡散させるために使用されています。.
- 暗号通貨マイニング –感染したホストの大部分には、Monero暗号通貨マイナーが含まれていると報告されています. リモートホストからダウンロードされ、ホストコンピューターで開始されます. システムリソースを使用して、ハッカーのデジタルウォレットに転送される暗号通貨をマイニングします.
感染したマシンの大規模なネットワークが多額の収入を生み出す可能性があるため、デジタル通貨のマイニングはハッカーの間で最近の傾向になっています. セキュリティエンジニアは、人気のあるMoneroを発見しました “鉱夫” ツールはペイロードで変更されています–何も指定されていない場合は、ハードコードされたパラメーターを使用して自動的に実行されます. これはに似ています Adylkuzzウイルス攻撃.
今後のCowerSnailLinuxウイルスの更新に注意してください
結局のところ、CowerSnail Linuxウイルスは、以前の脅威の修正リリースです。. その背後にあるハッカー集団は、将来的にも新しいマルウェアをリリースすると想定しています。, 危険なウイルスを生成した実績があるため.
感染の大部分は脆弱なソフトウェアによって引き起こされるため、Linuxユーザーはシステムを使用する際に注意する必要があります. 常にコンピュータを更新し、最高のセキュリティ戦術に依存する–常識. 信頼できないソースからスクリプトやソフトウェアをダウンロードまたは実行しないでください。また、最新の脅威について常に最新情報を入手してください。.