CYBER NEWS

Linux / Rakos malware Maakt gebruik van SSH Scan, overbelasting Doelen

Linux / Rakos is de naam van de nieuwste vorm van Linux malware die momenteel op de losse. De malware is ontworpen om te zoeken naar slachtoffers via SSH scan. De code is geschreven in de Go taal. De binaire is het meest waarschijnlijk gecomprimeerd met behulp van de standaard UPX gereedschap, onderzoekers zeggen.

De gebruikers hebben geklaagd dat hun ingebedde apparaten zijn overbelast met computer- en netwerktaken. De dader blijkt de Linux / Rakos malware.

Verwant: Linux / NyaDrop: Nieuwe malware op het internet van de dingen Horizon


Linux / Rakos Attacks Explained

Aanvallen zijn gebaseerd op brute kracht pogingen om SSH logins. Dit is hoe Linux malware stukken meestal opereren. Een ander voorbeeld van een dergelijke aanval is de Linux / Moose. Linux / Rakos kan zowel embedded apparaten en servers compromissen te sluiten met een open SSH-poort. De haven is beschermd, maar het wachtwoord is vrij eenvoudig en makkelijk te raden.

Zodra de malware meer dan een apparaat is genomen, het kan opnemen in een botnet dat dient voor diverse kwaadaardige activiteiten. Voor een, de malware zal het internet te scannen uit een beperkte lijst met IP-adressen, en dan zal het zich verspreiden naar meer apparaten.

Verwant: Linux.PNScan Malware Brute-Forces Linux-Based Routers

Wat de malware wil doen is een lijst maken van onbeveiligde apparaten. Dan zou proberen om een ​​botnet bestaat uit zoveel zombies als mogelijk te maken. De scan zou een beperkte lijst van IP-adressen te starten en zou vervolgens verspreid naar meer doelen. Gelukkig, alleen apparaten met een lage veiligheid in gevaar worden gebracht door Linux / Rakos. Wat betekent dit? Sommige gebruikers hebben gemeld met sterke wachtwoorden, maar vergeten om de online service van hun toestel uit te schakelen. Het wachtwoord is gewijzigd terug naar een standaard één na een factory reset. Onderzoekers zeggen dat dit te laten gebeuren slechts enkele uren van online exposure nodig waren.


Hoe werkt een Linux / Rakos Attack Start?

De aanval scenario begint wanneer een configuratiebestand via standaard input in YAML formaat wordt geladen. Het bestand zelf heeft informatie lijsten van command and control servers. De lijsten zijn geloofsbrieven te gebruiken in de brute force attacks. Hier is een voorbeeld van een configuratie van de malware:

https://github.com/eset/malware-ioc/tree/master/rakos


Wat is de Mitigation tegen een Linux / Rakos Attack?

Onderzoekers zeggen dat de malware niet kan opzetten van een aanhoudende installatie. Niettemin, de beoogde gastheer kan herhaaldelijk worden aangevallen.

Geïnfecteerde apparaten kunnen worden opgelost door de onderstaande stappen, zoals geadviseerd door ESET onderzoekers:

  • Maak verbinding met uw apparaat met behulp van SSH / Telnet;
  • Zoek een proces genaamd .javaxxx;
  • Run commando's zoals netstat of lsof met -n schakelaar om makesure is het verantwoordelijk voor ongewenste verbindingen;
  • Verzamel forensisch bewijsmateriaal door het dumpen van de geheugenruimte van de bijbehorende proces (b.v.. met gcore). Men zou ook kunnen herstellen van de verwijderde monster uit / proc met cp / proc /{pid}/exe {uitvoerbestand}
  • Beëindig het proces met de -Kill.
Milena Dimitrova

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Blijf kijken
Schrijf u in voor onze nieuwsbrief over de nieuwste cyberveiligheid en-tech gerelateerd nieuws.