Huis > Cyber ​​Nieuws > CowerSnail Linux-virus verbonden met SambaCry CVE-2017-7494
CYBER NEWS

CowerSnail Linux Virus Aangesloten op SambaCry CVE-2017-7494

image CowerSnail Linux Virus

Beveiliging onderzoekers ontdekten de CowerSnail Linux-virus in een lopend onderzoek naar grootschalige aanvallen van hackers. Volgens de analyse van de criminelen achter de malware zijn ook verantwoordelijk voor de SambaCry Trojaanse paarden die de CVE-2017-7494 kwetsbaarheid misbruiken.

Verwante Story: De beste Linux Server Uitkeringen 2017

Wat is de CowerSnail Linux Virus

De CowerSnail malware gedetecteerd op permanente aantasting campagne voorgeschreven door hackers groep. Het is speciaal gemaakt om het open-source besturingssysteem te richten zoals het is samengesteld met behulp van de QT toolkit - een van de meest gebruikte ontwikkelingskaders compatibel zijn met de Linux ecosysteem. Een van de belangrijkste voordeel is dat zodra maakte de CowerSnail Linux virus kan worden overgezet naar andere besturingssystemen, alsmede: Mac OS X, Microsoft Windows en verschillende embedded systemen (Integriteit, QNX en VxWorks) bijvoorbeeld. De huidige versies zijn verbonden met een aantal bibliotheken die worden gebruikt door de Linux-systeemcomponenten, als ze worden veranderd in een cross-platform iteratie dan zou de haven eenvoudig te programmeren zijn. Dit komt met een prijs terug te vinden op de bestandsgrootte. Als alle componenten in het virus worden gebouwd uitvoerbaar de resulterende grootte is ongeveer 3 MB. Dit maakt het aanzienlijk moeilijk om effectief te verspreiden via een aantal van de populaire spread tactiek.

De security analyse blijkt dat de gevangen CowerSnail Linux virus monsters tonen de volgende infectie patroon:

  1. Wanneer de CowerSnail Linux virus de software wordt uitgevoerd automatisch probeert de prioriteit van de lopende draad en de app zelf verheffen.
  2. Daarna belde een API StartServiceCtrlDispatcher waaruit blijkt verbinding met op afstand bediende hacker C&C (commando en controle) servers. Dit maakt effectief de CowerSnail Linux virus in een gevaarlijke Trojan als het netwerk communicatie in de vroege fase van de infectie zijn gevestigd.
  3. Als dit niet lukt CowerSnail aanvaarden ook vooraf gedefinieerde acties en accepteren variabelen als input van de gebruiker. CowerSnail effectief kan worden geïnstalleerd als een secundaire nuttige lading en worden geconfigureerd door andere malware.
  4. De geïnfecteerde hosts worden gerapporteerd aan de C&C servers via de IRC protocol dat is een van de meest populaire protocollen te chatten met gebruikers. IRC bots en geautomatiseerde software behoren tot de eenvoudigste types van hacker gecontroleerde infrastructuur beschikbaar op de hacker underground markten.

CowerSnail Linux Virus Capabilities

Een van de belangrijkste kenmerken in verband met de CowerSnail Linux malware is het feit dat het kan worden ingezet als onderdeel van een grotere schaal aanval die meerdere virussen impliceert. Een mogelijk scenario zou zijn om een ​​ander virus bedreiging te gebruiken om de eerste infectie te maken en gebruik maken van de Trojan voor het uitvoeren van spionage en acties door de afstandsbediening. De primaire dreiging kan de C op te halen&C servers en bijbehorende commando's die kunnen worden toegevoerd aan CowerSnail.

De security experts ontdekten dat zodra de virusinfecties plaats een hele systeem hardware componenten scan wordt uitgevoerd hebben genomen en de resulterende gegevens naar de criminelen verzonden. De verzamelde gegevens kunnen worden gebruikt voor de statistieken of andere kwetsbaarheden in de gecompromitteerde apparaten te ontdekken. De gemaakte CowerSnail Linux virus monsters bleken een uitgebreide lijst van functies te bieden:

  • Automatische updates - De CowerSnail Linux virus code maakt het mogelijk de bestanden automatisch updaten zichzelf wanneer een nieuwe versie wordt uitgegeven door de ontwikkelaars.
  • Willekeurige commando's - Een actieve CowerSnail infectie kan de afstandsbediening operators om opdrachten van hun keuze uit te voeren.
  • dienst Installatie - De malware kan worden ingezet als een systeem dienst die ernstige invloed heeft op de mogelijkheid om deze te beheersen. De diensten worden meestal uitgevoerd tijdens het opstarten en kan worden gewijzigd met behulp van root-rechten die sommige Linux-gebruikers niet in staat zijn om te verwerven. Deze infectie methode is zeer vergelijkbaar met de gevaarlijke rootkits. Geavanceerde versies van de CowerSnail Linux virus kan zelfs infiltreren de Kernel door het toevoegen van nieuwe modules om het. De criminelen kunnen ook instrueren de kwaadaardige bijvoorbeeld om zich van de besmette gastheren verwijderen.
  • Gedetailleerde informatie Oogsten - Als u de instructie de CowerSnail Linux virus kan ook aanvullende informatie over de machines te extraheren. De malware is gevonden in staat zijn om de volgende gegevens te verzamelen: tijdstempel van de installatie, gedetailleerde naam en versie van het besturingssysteem, computer (gastheer) naam, informatie over alle beschikbare netwerkapparaten, de Application Binary Interface (HELP) en de processor geheugeninformatie.

CowerSnail Linux Virus en de SambaCry Trojan (CVE-2017-7494) Verbinding

image SambaCry Trojan-virus

De CowerSnail Linux virus exploitanten is vastgesteld op dezelfde C gebruiken&C-servers als de SambaCry Trojan. Bovendien blijkt dat bepaalde code base wordt aangeleverd door malware. Dit is een Trojaans paard dat machines kwetsbaar zijn voor de zogenaamde infecteert EternalRed of SambaCry exploiteren(CVE-2017-7494). Het advies luidt de volgende:

Alle versies van Samba uit 3.5.0 verder zijn kwetsbaar voor een beveiligingslek externe code, waardoor een kwaadwillende client naar een gedeelde bibliotheek uploaden naar een beschrijfbare aandeel, en vervolgens voor zorgen dat de server te laden en uit te voeren.

Dit is een belangrijke zwakte in de Samba software-implementatie van het SMB-protocol dat wordt gebruikt in zowel Linux-distributies en andere gerelateerde systemen zoals Mac OS X. De kwetsbaarheid getroffen versies die dateren 2010 en het is pas sinds kort hersteld na de security experts ontdekt de bug. De SambaCry Trojan loopt een vooraf gedefinieerde commando met super-user (wortel) privileges die de infectie initieert:

  1. Reverse Shell Startup - De veiligheidsanalyse blijkt dat de eerste fase is het uitvoeren van een omgekeerde schaal die aansluit op afstand sever voorgedefinieerde. Dit geeft de aanvallers de mogelijkheid om op afstand de controle van de geïnfecteerde hosts op een bepaald moment.
  2. malware Infiltratie - De SambaCry Linux Trojan is gebruikt door hackers om machines wereldwijd te infiltreren en verspreiden extra virussen en bedreigingen.
  3. Crypto Currency Mining - Een groot deel van de besmette gastheren zijn gemeld aan een Monero crypto munt mijnwerker omvatten. Het wordt gedownload van een remote host en begon op de hostcomputer. Het maakt gebruik van de systeembronnen aan de mijne crypto valuta die wordt overgebracht naar de digitale portemonnee van de hackers.

Mijnbouw digitale valuta is uitgegroeid tot een recente trend onder hackers als een groot netwerk van geïnfecteerde computers kan een royale inkomsten te genereren. De security ingenieurs ontdekt dat een populaire Monero “mijnwerker” instrument is gewijzigd in de payload - het voert zichzelf automatisch met behulp van hardcoded parameters als er geen worden gegeven om het. Dit is vergelijkbaar met de Adylkuzz virusaanval.

Verwante Story: Het 10 Beste methoden over hoe om te verbeteren Linux Security

Kijk uit voor verdere CowerSnail Linux Virus Updates

Het blijkt dat de CowerSnail Linux virus is een gewijzigde versie van een eerdere bedreiging. We nemen aan dat de hacker collectief achter het gaat om nieuwe malware vrij te geven in de toekomst ook, omdat ze een track record van het produceren van gevaarlijke virussen.

Linux-gebruikers moeten voorzichtig zijn bij het gebruik van hun systemen als de meerderheid van de infecties worden veroorzaakt door kwetsbare software. Voortdurend te actualiseren uw computers en een beroep doen op de beste beveiliging tactiek - gezond verstand. Niet downloaden of uitvoeren van scripts of software van onbetrouwbare bronnen en Blijf op de hoogte van de nieuwste bedreigingen.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens