Linuxマルウェアの新種が検出されました. Linux/Shishiga吹き替え, マルウェアは危険なマルウェアに変わる可能性があります. Linux / Shishigaは、Esetの研究者によって公式に発見および調査されました.
「「私たちが毎日受け取るすべてのLinuxサンプルの中で, Dr.Webによってのみ検出された1つのサンプルに気づきました–それらの検出名はLinux.LuaBotでした,」研究者 書きました. 彼らがそれを分析した後, 彼らは、それが確かに軽量のスクリプト言語Luaで書かれたボットであるが、実際にはまったく新しいファミリーであることを発見しました。, 既知のLuabotマルウェアとは関係ありません. したがって, マルウェアには新しい名前が付けられました– Linux / Shishiga. マルウェアは4つの異なるプロトコルを使用します, SSH, Telnet, HTTP, とBitTorrent, モジュール性のためのLuaスクリプト.
関連している: Linuxデバイスをエクスプロイトやマルウェアから保護する
Linux/Shishigaが対象とするシステム
Linux/ShishigaはGNU/Linuxシステムをターゲットにしています. 感染プロセスは、広く悪用されている手法によって開始されます: パスワードリストを使用したブルートフォースの弱いクレデンシャル. 別のマルウェア, Linux / Moose, 同様の方法でこれを行うことが知られています. でも, Shishigaには、SSHクレデンシャルをブルートフォースする機能が追加されています. 研究者は、IoTデバイスに共通するさまざまなアーキテクチャのマルウェアのバイナリをいくつか見つけました (MIPSなど, 腕, i686, PowerPC). その他のアーキテクチャ, でも, 同様にサポートされる可能性があります (SPARC, SH-4またはm68k).
Linux/Shishiga技術説明
ShishigaはUPXツールがパックされたバイナリです (実行可能ファイル用の究極のパッカー) マルウェアがパックされたファイルの最後にデータを追加するため、解凍に問題が発生する可能性があります. 開梱したら, Luaランタイムライブラリと静的にリンクされ、すべてのシンボルが削除されます.
研究者 マルウェアの一部が過去数週間で書き直されていることを確認しました. 他のテストモジュールが追加されました, それも, 冗長ファイルが削除されました.
研究者はまた、Luaスクリプト言語を使用し、それをLuaインタープリターライブラリと静的にリンクすることの組み合わせが興味深いと信じています. この組み合わせは、攻撃者がコードを継承し、さまざまなターゲットアーキテクチャに合わせてコードを調整することを決定したという2つのことを意味する可能性があります。. または、使いやすいという理由でこの言語を選択しました.
関連している: Linux.PNScan MalwareBrute-Linuxベースのルーターを強制します
LuaBotインスタンスには確かにかなりの類似点がありますが、研究者はLinux/Shishigaが異なると信じています. マルウェアは進化し、さらに普及すると予想されています, これまでのところ犠牲者の数は少ないですが. コードの絶え間ない変更は、マルウェアが改善されていることを明確に示しています.
結論は, Linux/ShishigaはほとんどのLinuxマルウェアのように見えるかもしれません, 弱いTelnetおよびSSHクレデンシャルを介して拡散, しかし、BitTorrentプロトコルとLuaモジュールの実装はそれをややユニークにします. BitTorrentはHajimeで使用されました, the みらいに触発されたワーム, したがって、今後数か月で人気が高まる可能性があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: