Linux / Rakosは、現在緩んでいるLinuxマルウェアの最新の形式の名前です。. このマルウェアは、SSHスキャンを介して被害者を検索するように設計されています. コードはGo言語で書かれています. バイナリは、標準のUPXツールを使用して圧縮されている可能性があります, 研究者は言う.
ユーザーは、組み込みデバイスがコンピューティングおよびネットワークタスクで過負荷になっていると不満を漏らしています. 犯人はLinux/Rakosマルウェアのようです.
関連している: Linux / NyaDrop: IoTHorizonの新しいマルウェア
Linux/Rakosの攻撃の説明
攻撃は、SSHログインでのブルートフォース攻撃に基づいています. これは、Linuxマルウェアの断片が通常どのように動作するかです. このような攻撃のもう1つの例は、Linux/Mooseです。. Linux / Rakosは、SSHポートが開いていると組み込みデバイスとサーバーの両方を危険にさらす可能性があります. ポートは保護されていますが、パスワードは非常にシンプルで推測しやすいです.
マルウェアがデバイスを乗っ取ったら, さまざまな悪意のある活動に役立つボットネットに含めることができます. 一つのために, マルウェアは、IPアドレスを持つ限られたリストからインターネットをスキャンします, そしてそれはより多くのデバイスに広がります.
関連している: Linux.PNScan MalwareBrute-Linuxベースのルーターを強制します
マルウェアが実行したいのは、セキュリティで保護されていないデバイスのリストを作成することです. 次に、できるだけ多くのゾンビで構成されるボットネットを作成しようとします。. スキャンはIPの限定されたリストを開始し、その後、より多くのターゲットに広がります. 幸いなことに, Linux/Rakosによって危険にさらされるのはセキュリティの低いデバイスのみです. これは何を意味するのでしょうか? 一部のユーザーは、強力なパスワードを持っているが、デバイスのオンラインサービスを無効にするのを忘れていると報告しています. 工場出荷時のリセット後、パスワードはデフォルトのパスワードに戻されました. 研究者は、これが起こるために必要なのは数時間のオンライン露出だけだったと言います.
Linux/Rakosの攻撃はどのように始まりますか?
攻撃シナリオは、構成ファイルがYAML形式の標準入力を介してロードされたときに開始されます. ファイル自体には、コマンドアンドコントロールサーバーの情報リストがあります. リストには、ブルートフォース攻撃で使用する資格があります. マルウェアの構成例を次に示します。:
https://github.com/eset/malware-ioc/tree/master/rakos
Linux/Rakos攻撃に対する緩和策は何ですか?
研究者によると、マルウェアは永続的なインストールを設定できないという. それにもかかわらず, 標的となるホストは繰り返し攻撃される可能性があります.
感染したデバイスは、以下の手順に従って修正できます, によってアドバイスされたように ESETの研究者:
- SSH/Telnetを使用してデバイスに接続します;
- .javaxxxという名前のプロセスを見つけます;
- netstatやlsofなどのコマンドを-nスイッチを指定して実行し、不要な接続の原因であることを確認します;
- 対応するプロセスのメモリスペースをダンプして、フォレンジック証拠を収集します (例えば. gcoreで). cp /proc/を使用して/procから削除されたサンプルを回復することもできます。{pid}/EXE {output_file}
- -KILLでプロセスを終了します.