Casa > cibernético Notícias > CowerSnail Linux Virus Connected to SambaCry CVE-2017-7494
CYBER NEWS

Vírus CowerSnail Linux Conectado a SambaCry CVE-2017-7494

imagem Vírus CowerSnail Linux

Os pesquisadores de segurança detectou o vírus CowerSnail Linux em uma investigação em curso sobre ataques de hackers em larga escala. De acordo com a análise dos criminosos por trás o malware também são responsáveis ​​pelas Trojans SambaCry que exploram a vulnerabilidade CVE-2017-7494.

Story relacionado: As distribuições Melhor Linux Server em 2017

O que é o vírus CowerSnail Linux

O malware CowerSnail foi detectado em uma campanha de ataque em andamento dirigida por um grupo de hackers. Ele é feito especificamente para direcionar o sistema operacional de código aberto, pois é compilado usando o kit de ferramentas QT - um dos frameworks de desenvolvimento mais usados compatíveis com o ecossistema Linux. Uma das principais vantagens é que uma vez feito o vírus CowerSnail Linux pode ser portado para outros sistemas operacionais também: Mac OS X, Microsoft Windows e várias plataformas incorporadas (Integridade, QNX e VxWorks) por exemplo. As versões atuais estão vinculadas a várias bibliotecas que são usadas pelos componentes do sistema Linux, se eles forem alterados para uma iteração de plataforma cruzada, a porta será fácil de programar. Isso vem com um preço refletido no tamanho do arquivo. Como todos os componentes estão embutidos no executável do vírus, o tamanho resultante é de aproximadamente 3 MB. Isso torna significativamente difícil distribuí-lo efetivamente por meio de algumas das táticas de propagação populares.

A análise de segurança revela que as amostras de vírus CowerSnail Linux capturadas demonstram o seguinte padrão de infecção:

  1. Quando o vírus CowerSnail Linux é executado, o software automaticamente tenta elevar a prioridade do thread em execução e do próprio aplicativo.
  2. Depois uma API chamada StartServiceCtrlDispatcher que estabelece conexão com C remoto operado por hackers&C (comando e controle) servidores. Isso efetivamente transforma o vírus CowerSnail Linux em um Trojan perigoso, pois as comunicações de rede são estabelecidas na fase inicial da infecção.
  3. Se isso falhar, o CowerSnail também pode aceitar ações predefinidas e aceitar variáveis como entrada do usuário. Efetivamente CowerSnail pode ser instalado como uma carga secundária e ser configurado por outro malware.
  4. Os hospedeiros infectados são reportados ao C&Servidores C através do protocolo IRC, que é um dos protocolos mais populares para conversar com usuários. Bots de IRC e software automatizado estão entre os tipos mais fáceis de infraestrutura controlada por hackers disponíveis nos mercados clandestinos de hackers.

Recursos do vírus CowerSnail Linux

Um dos recursos importantes associados ao malware CowerSnail Linux é o fato de que ele pode ser implantado como parte de um ataque em larga escala que envolve vários vírus. Um cenário possível seria usar outra ameaça de vírus para fazer a infecção inicial e utilizar o Trojan para realizar ações de espionagem e controle remoto. A ameaça primária pode recuperar o C&Servidores C e comandos associados que podem ser alimentados no CowerSnail.

Os especialistas em segurança descobriram que, uma vez que as infecções por vírus ocorram, uma verificação de componentes de hardware em todo o sistema é executada e os dados resultantes são enviados aos criminosos.. Os dados coletados podem ser usados para estatísticas ou para descobrir outras vulnerabilidades nos dispositivos comprometidos. As amostras de vírus CowerSnail Linux capturadas fornecem uma extensa lista de recursos:

  • Atualizações automáticas – O código do vírus CowerSnail Linux permite que os arquivos se atualizem automaticamente quando uma nova versão é emitida pelos desenvolvedores.
  • Execução de Comando Arbitrário – Uma infecção ativa do CowerSnail permite que os operadores remotos executem comandos de sua escolha.
  • Instalação de Serviço – O malware pode ser implantado como um serviço de sistema que afeta severamente a capacidade de controlá-los. Os serviços geralmente são executados na inicialização do sistema e podem ser modificados usando privilégios de root que alguns usuários do Linux podem não conseguir adquirir. Este método de infecção é muito semelhante aos rootkits perigosos. Versões avançadas do vírus CowerSnail Linux podem até se infiltrar no Kernel adicionando novos módulos a ele. Os criminosos também podem instruir a instância maliciosa a se remover dos hosts infectados.
  • Colheita de Informações Detalhadas – Se instruído o vírus CowerSnail Linux também pode extrair informações adicionais sobre as máquinas. Descobriu-se que o malware é capaz de coletar os seguintes dados: timestamp de instalação, nome e versão detalhados do sistema operacional, computador (hospedeiro) nome, detalhes sobre todos os dispositivos de rede disponíveis, a interface binária do aplicativo (ABI) e as informações do processador e da memória.

Vírus CowerSnail Linux e o Trojan SambaCry (CVE-2017-7494) Conexão

Imagem do vírus Trojan SambaCry

Os operadores de vírus CowerSnail Linux foram encontrados para usar o mesmo C&Servidores C como o Trojan SambaCry. Além disso, parece que parte da base de código é proveniente do malware. Este é um Trojan que infecta máquinas vulneráveis aos chamados Exploração do EternalRed ou SambaCry(CVE-2017-7494). A assessoria diz o seguinte:

Todas as versões do Samba de 3.5.0 em diante são vulneráveis a uma vulnerabilidade de execução remota de código, permitindo que um cliente malicioso carregue uma biblioteca compartilhada para um compartilhamento gravável, e, em seguida, fazer com que o servidor carregue e execute-o.

Esta é uma grande fraqueza na implementação do software Samba do protocolo SMB que é usado em distribuições Linux e outros sistemas relacionados, como Mac OS X. A vulnerabilidade afetou versões anteriores 2010 e só recentemente foi corrigido depois que os especialistas em segurança descobriram o bug. O Trojan SambaCry executa um comando predefinido com superusuário (raiz) privilégios que inicia o processo de infecção:

  1. Inicialização do shell reverso – A análise de segurança mostra que o primeiro estágio é a execução de um shell reverso que se conecta a um servidor remoto predefinido. Isso dá aos invasores a capacidade de controlar remotamente os hosts infectados a qualquer momento.
  2. Infiltração de malware – O Trojan SambaCry Linux foi usado por hackers de computador para se infiltrar em máquinas em todo o mundo e espalhar vírus e ameaças adicionais.
  3. Mineração de criptomoedas – Uma grande parte dos hosts infectados inclui um minerador de criptomoedas Monero. Ele é baixado de um host remoto e iniciado no computador host. Ele usa os recursos do sistema para minerar moeda criptográfica que é transferida para a carteira digital dos hackers.

A mineração de moeda digital tornou-se uma tendência recente entre os hackers, pois uma grande rede de máquinas infectadas pode gerar uma renda generosa. Os engenheiros de segurança descobriram que um popular Monero “mineiro” ferramenta foi modificada na carga útil - ela se executa automaticamente usando parâmetros codificados se nenhum for fornecido a ela. Isso é semelhante ao Ataque do vírus Adylkuzz.

Story relacionado: o 10 Melhores métodos sobre como melhorar a segurança Linux

Fique atento para mais atualizações de vírus CowerSnail Linux

Acontece que o vírus CowerSnail Linux é uma versão modificada de uma ameaça anterior. Presumimos que o coletivo de hackers por trás disso também lançará novos malwares no futuro, como eles têm um histórico de produção de vírus perigosos.

Os usuários do Linux devem ter cuidado ao usar seus sistemas, pois a maioria das infecções é causada por software vulnerável. Atualize constantemente seus computadores e conte com as melhores táticas de segurança – bom senso. Não baixe ou execute scripts ou softwares de fontes não confiáveis e mantenha-se atualizado para todas as ameaças mais recentes.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo