O SpeakUp Linux Trojan é uma das mais perigosas ameaças nas últimas semanas, uma vez que é classificado como um backdoor em silêncio Trojan. É capaz de escapar com sucesso de soluções de segurança ativas e as campanhas confirmadas indicam que ele é direcionado contra vulnerabilidades em distribuições populares. No momento, os ataques se concentram principalmente contra servidores na América Latina, Leste Asiático e inclui instâncias AWS também.
A ameaça do cavalo de Troia Speakup Linux - O que sabemos sobre os ataques em andamento
O principal método pelo qual as infecções são feitas é um bug no ThinkkPHP que é rastreado no Consultoria CVE-2018-20062 onde se lê o seguinte:
Um problema foi descoberto no NoneCms V1.3. O thinkphp / library / think / App.php permite que atacantes remotos executem código PHP arbitrário por meio do uso do parâmetro filter, conforme demonstrado pelo s = index / think Request / input&filter = phpinfo&data = 1 string de consulta.
Se um serviço vulnerável for executado, o Trojan SpeakUp Linux executará uma solicitação de rede criada que levará ao sucesso da infecção. Uma característica distinta é a execução de um script baseado em Python que pode escanear as máquinas acessíveis na rede local. Isso é feito para procurar vulnerabilidades específicas - o código do malware tentará infectá-los ao tentar acionar bugs de execução remota de código. A campanha atual visa as seguintes vulnerabilidades:
- CVE-2012-0874 - Vulnerabilidades de desvio de segurança múltiplas da JBoss Enterprise Application Platform
- CVE-2010-1871 - Execução remota de código JBoss Seam Framework
- JBoss AS 3/4/5/6 - Execução de Comando Remoto
- CVE-2017-10271 - RCE de desserialização do componente Oracle WebLogic wls-wsat
- CVE-2018-2894 - Vulnerabilidade no componente Oracle WebLogic Server do Oracle Fusion Middleware
- Hadoop YARN ResourceManager - Execução de Comando
- CVE-2016-3088 - Vulnerabilidade de execução remota de código de upload de arquivos do servidor de arquivos Apache ActiveMQ
Recebemos a confirmação de que os ataques atuais são feitos contra máquinas localizadas no leste da Ásia e na América Latina. Os pesquisadores também descobriram que os serviços hospedados da AWS também foram afetados. O que é mais perigoso é que, devido ao fato de o código ser escrito usando o código adequado também pode infectar máquinas Mac.
Os recursos de infecção por Trojan do SpeakUp Linux e o comportamento observado
Assim que uma tentativa de infiltração bem-sucedida for feita, o script malicioso puxará um carga ibus que deve ser injetado no “tmp” localização. A partir daí, o backdoor real será executado. Ele é programado para recuperar um script Perl de um servidor remoto e executá-lo após um atraso de dois segundos. O arquivo original será removido para que seja impossível descobrir as evidências e a rota da infecção. Esta carga útil de segundo estágio executará suas funções pretendidas usando memória codificada - isso é feito para tornar impossível a análise ser feita sem decodificar o fluxo em tempo real.
Efetivamente um ignorar a segurança é aplicado nos computadores das vítimas - a instalação do vírus é atrasada, o que contorna a verificação heurística típica feita por programas antivírus. Além disso, como as operações de memória são codificadas, o software de segurança pode não ser capaz de ler os processos e identificar a presença de uma ameaça. Efetivamente, esta estratégia pode ser usada para remover os motores ou os aplicativos completamente. A lista de programas que devem ser afetados inclui programas antivírus, firewalls, Os sistemas de detecção de intrusão, Máquina Virtual hosts e ambientes sandbox.
O principal objetivo do Trojan SpeakUp Linux é estabelecer uma conexão segura com um servidor controlado por hackers. Essencialmente, permite que os criminosos executem comandos, muitos dos quais estão embutidos no motor. Tudo o que eles precisam é simplesmente passar o argumento necessário para o serviço local. A análise mostra que a comunicação é feita em intervalos regulares que são rotulados como “bate”. O Trojan SpeakUp Linux garantirá que apenas uma única instância esteja sendo executada por vez, especificando um assinatura mutex. Vários dos comandos que estão disponíveis para os operadores de hackers foram capturados por meio de análise de rede:
- nova tarefa — Este comando executará um código ou arquivo enviado por hackers na máquina infectada. Também é usado para instruir os hosts a baixar e executar um arquivo de um serviço remoto. Outras tarefas possíveis incluem matar processos em execução ou desinstalá-los. Um relatório de status atualizado também pode ser solicitado nas máquinas.
- Não pergunte — Isso suspenderá a instância local do Trojan SpeakUp Linux e acompanhará o servidor para a inicialização de comandos adicionais.
- configuração mais recente — Isso atualizará o arquivo de configuração.
Parece que um dos principais objetivos é implantar um mineiro criptomoeda. Esta é uma tendência nos últimos anos em que esses aplicativos de pequeno porte aproveitarão os recursos de hardware executando tarefas intensivas. Eles colocarão uma carga pesada na CPU, GPU, memória e espaço no disco rígido. Sempre que um deles estiver completo, os operadores hackers receberão moeda digital que será diretamente conectada às suas carteiras.
Lembramos aos nossos leitores que esta informação representa apenas a versão atual e as atividades das amostras de vírus conforme configuradas no presente. É possível que as versões futuras tenham um padrão de comportamento muito diferente.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: