Linux / Rakos é o nome da mais recente forma de Linux malwares atualmente à solta. O malware é projetado para procurar vítimas através de varredura SSH. O código é escrito na linguagem Go. O binário é mais provável compactado usando a ferramenta UPX padrão, pesquisadores dizem.
Usuários têm reclamado de que seus dispositivos embarcados foram sobrecarregados com tarefas de computação e de rede. O culpado parece ser o malware Linux / Rakos.
relacionado: Linux / NyaDrop: Novo Malware na Internet das coisas Horizon
Ataques Linux / Rakos Explicada
Ataques são baseados em tentativas de força bruta em logins SSH. Isto é como de malware peças Linux funcionam normalmente. Outro exemplo de um tal ataque é o Linux / Moose. Linux / Rakos pode comprometer ambos os dispositivos e servidores incorporados com uma porta SSH aberta. A porta está protegida, mas a senha é bastante simples e fácil de adivinhar.
Uma vez que o malware tenha tomado um dispositivo, ele pode incluí-lo em um botnet que serve para várias atividades maliciosas. Para um, o malware irá varrer a Internet a partir de uma lista limitada com endereços IP, e então ele vai se espalhar para mais dispositivos.
relacionado: Routers Linux.PNScan Malware Brute-Forças baseado em Linux
O que o malware quer fazer é criar uma lista de dispositivos inseguros. Em seguida, ele iria tentar criar uma botnet consistindo de zumbis como possível. A varredura iria começar uma lista limitada de IPs e que depois se espalhou para mais alvos. Felizmente, Apenas os dispositivos com baixa segurança estão ameaçadas por Linux / Rakos. O que isto significa? Alguns usuários relataram ter senhas fortes, mas esquecendo-se de desativar o serviço on-line de seu dispositivo. A senha foi alterado novamente para um padrão após um reset de fábrica. Os pesquisadores dizem que para que isso aconteça só foram necessárias várias horas de exposição on-line.
Como é que um / Rakos Ataque Iniciar Linux?
O cenário de ataque começa quando um arquivo de configuração é carregado através da entrada padrão no formato YAML. O arquivo em si tem listas de informações de servidores de comando e controle. As listas têm credenciais para usar nos ataques de força bruta. Aqui está um exemplo de uma configuração do malware:
https://github.com/eset/malware-ioc/tree/master/rakos
Qual é a Mitigação contra um Linux / Rakos Ataque?
Os pesquisadores dizem que o malware não pode configurar uma instalação persistente. Não obstante, os anfitriões direcionados podem ser atacados repetidamente.
dispositivos infectados pode ser fixo, seguindo os passos indicados abaixo, como recomendado pelo pesquisadores da ESET:
- Ligue para o seu dispositivo usando SSH / Telnet;
- Localize um processo chamado .javaxxx;
- executar comandos como netstat ou lsof com opção -n para makesure é responsável por conexões indesejadas;
- provas forenses a cobrar por despejar o espaço de memória do processo correspondente (por exemplo. com gcore). Pode-se também recuperar a amostra excluído do / proc com cp / proc /{pid}/Exe {arquivo de saída}
- Finalizar o processo com o -kill.