Gevaarlijke Speakup Linux Trojan Implants Itself Zwijgend Via CVE-2018-20.062
CYBER NEWS

Gevaarlijke Speakup Linux Trojan Implants Itself Zwijgend Via CVE-2018-20.062

1 Star2 Stars3 Stars4 Stars5 Stars (Nog geen beoordeling)
Loading ...

Het SpeakUp Linux Trojan is een van de meest gevaarlijke bedreigingen in de laatste weken als het is gecategoriseerd als een stille backdoor Trojan. Het is in staat om actief security-oplossingen met succes te omzeilen en het bevestigde campagnes geven aan dat dat het is gericht tegen kwetsbaarheden in populaire distributies. Op het moment dat de aanvallen vooral concentreren tegen servers in Latijns-Amerika, Oost-Azië en omvatten AWS gevallen ook.




De Speakup Linux Trojan Threat - Wat weten we over de voortdurende aanvallen

De belangrijkste methode waarmee infecties worden gemaakt zich kan voordoen in ThinkkPHP die wordt bijgehouden in het CVE-2018-20.062 adviserende die leest de volgende:

Een probleem werd ontdekt in NoneCms V1.3. thinkphp / bibliotheek / denken / App.php kunnen externe aanvallers willekeurige PHP-code uit te voeren via bewerkte gebruik van de parameter filter, zoals blijkt uit de s = index / denken Request / input&filter = phpinfo&data = 1 querytekenreeks.

Als een kwetsbare dienst wordt gedaan zal de SpeakUp Linux Trojan een bewerkte verzoek van het netwerk, die zal leiden tot de succesvolle infectie lopen. Een duidelijk kenmerk is het uitvoeren van een Python gebaseerde script dat de bereikbare machines op het lokale netwerk scannen. Dit wordt gedaan om te zoeken naar specifieke kwetsbaarheden - de malware code zal proberen om ze te infecteren door te proberen uitvoering van externe code bugs activeren. De huidige campagne betreft de volgende kwetsbaarheden:

  • CVE-2012-0874 - JBoss Enterprise Application Platform Multiple Veiligheid Bypass Vulnerabilities
  • CVE-2010-1871 - JBoss Seam Framework uitvoering van externe code
  • JBoss AS 3/4/5/6 - Remote Command Execution
  • CVE-2017-10.271 - Oracle WebLogic WLS-WSAT Component Deserialisatie RCE
  • CVE-2018-2894 - Door een beveiligingslek in de Oracle WebLogic Server component van Oracle Fusion Middleware
  • Hadoop YARN ResourceManager - Command Execution
  • CVE-2016-3088 - Apache ActiveMQ fileserver File Upload uitvoeren van externe code

We hebben de bevestiging dat de huidige aanvallen worden afgezet tegen machines gevestigd in Oost-Azië en Latijns-Amerika ontvangen. De onderzoekers hebben ook ontdekt dat AWS hosted services zijn ook getroffen. Wat is gevaarlijker is dat te wijten aan het feit dat de code wordt geschreven met behulp van de juiste code het kan ook Mac machines te infecteren.

Verwant:
Canonical onlangs vast een heleboel ernstige beveiligingsfouten in Ubuntu 18.04, maar het blijkt dat de grote update introduceerde twee meer kwetsbaarheden.
Major Ubuntu 18.04 Update introduceert Twee andere beveiligingslekken

Het SpeakUp Linux Trojan Infection Capabilities en waargenomen gedrag

Zodra een succesvolle infiltratie is gepoogd de kwaadaardige script zal trekken een lbus payload die wordt geïnjecteerd in de “tmp” plaats. Vanaf daar op de werkelijke achterdeur wordt uitgevoerd. Het is geprogrammeerd om een ​​Perl-script ophalen van een externe server en voer het uit na een vertraging van twee seconden. Het oorspronkelijke bestand wordt verwijderd om het onmogelijk om uit te vinden het bewijs en de route van de infectie te maken. Deze tweede fase lading zal zijn bedoelde functies via gecodeerde memory - dit gebeurt om het mogelijk te maken voor analyse worden gedaan zonder het decoderen van de stroom in realtime.

in feite een security bypass wordt afgedwongen op het slachtoffer computers - het virus installatie wordt vertraagd, die gaat rond de typische heuristische scan gedaan door antivirusprogramma's. Bovendien als het geheugen operaties worden gecodeerd kan de beveiligingssoftware niet in staat zijn om de processen te lezen en te identificeren die een bedreiging aanwezig is. Effectief Dit kan strategie kan worden gebruikt om de motoren of de aanvragen geheel te verwijderen. De lijst van programma's die kunnen worden aangetast anti-virus programma's, firewalls, intrusiedetectiesystemen, virtual machine hosts en sandbox-omgevingen.

Het belangrijkste doel van het SpeakUp Linux Trojan is om een ​​veilige verbinding met een hacker gecontroleerde server vast te stellen. Het maakt het mogelijk in wezen de criminelen om opdrachten uit te voeren, waarvan vele zijn ingebouwd in de motor. Het enige wat ze nodig hebben is om gewoon te vellen over de vereiste argument om de lokale dienst. De analyse laat zien dat de communicatie verloopt regelmatig die volgens het “stoten”. Het SpeakUp Linux Trojan zal ervoor zorgen dat er slechts één exemplaar wordt uitgevoerd op een door het opgeven van een interne signature mutex. Een aantal van de commando's die beschikbaar zijn voor de hacker operators zijn vastgelegd via netwerkanalyse:

  • nieuwe taak - Dit commando zal een hacker publiceerde code uit te voeren of bestand op de geïnfecteerde machine. Het wordt ook gebruikt om de gastheren te instrueren in het downloaden en uitvoeren van een bestand van een service op afstand. Andere mogelijke taken zijn het doden van actieve processen of te verwijderen. Een up-to-date statusrapport kan ook worden aangevraagd bij de machines.
  • niet vragen - Dit zal slapen de lokale SpeakUp Linux Trojan aanleg en follow-up van de server voor het opstarten van extra commando's.
  • newerconfig - Dit zal het configuratiebestand bijwerken.

Het lijkt erop dat een van de belangrijkste doelen is om een ​​in te zetten cryptogeld mijnwerker. Dit is een trend in de afgelopen jaren, waarin deze kleine toepassingen gebruik maken van de hardware resources zal nemen door het uitvoeren van intensieve taken. Zij zullen een zware last leggen op de CPU, GPU, geheugen en ruimte op de harde schijf. Wanneer een van hen is compleet de hacker operators digitale valuta die rechtstreeks worden aangesloten op hun portemonnee te ontvangen.

We herinneren onze lezers dat deze informatie slechts de staat voor de huidige versie en de activiteiten van het virus monsters zoals geconfigureerd in de huidige. Het is mogelijk dat de toekomstige versies een heel ander gedragspatroon zal hebben.

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...