欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

继Winnti之后,新恶意软件HiddenWasp仍以Linux系统为目标

 

Intezer Labs的安全研究人员发现了针对Linux系统的新恶意软件,名为HiddenWasp。黑客似乎使用其他方法破坏Linux系统,然后将HiddenWasp部署为第二阶段有效负载,用于远程控制已感染的Linux系统。

1.概览

尽管Linux系统面临的威胁中物联网DDoS僵尸网络和加密挖掘恶意软件比较常见,但针对其的特洛伊木马或后门却不多。


据悉,HiddenWasp恶意软件也是基于Mirai和Azazel rootkit中使用的主要代码部分开发的。更令人震惊的是,HiddenWasp目前仍处于活动状态,但在Linux下的所有防病毒软件中都具有零检测率。


VirusTotal检测恶意软件样本

2.技术细节

在发布的博客中,Intezer Labs的安全研究员Ignacio Sanmillan详细介绍了该恶意软件的技术分析。他发现HiddenWasp的基础设施包括初始部署脚本、特洛伊木马和用户模式rootkit。而HiddenWasp的独特之处在于该恶意软件中包含一些规避技术,即用于隐藏主要木马植入物的rootkit。


据Sanmillan发现,HiddenWasp与前段时间攻击Linux系统的另一种恶意软件Winnti具有相似的结构。


研究人员在VirusTotal上找到了与HiddenWasp相关的特定文件。其中一个文件包含部署该恶意软件的bash脚本。此脚本一旦执行就会下载tar压缩存档,其中包含构成HiddenWasp的上述三个组件。

恶意软件植入物似乎托管在位于香港的物理服务器托管公司ThinkDream的服务器中。

初始部署脚本使用名为“sftp”的用户使用硬编码密码,并清除系统以根除旧版本的恶意软件。


初始部署脚本

随后特洛伊木马以静态链接的ELF二进制形式出现,与stdlibc ++连接。它还与Elknot恶意软件共享一些代码,该恶意软件已知会在Linux系统上执行DDoS攻击。另外,用户模式rootkit使用了Azazel rootkit中使用的大部分代码,以及与Mirai僵尸网络相关的类似算法。


根据Sanmillan的说法,HiddenWasp的恶意功能包括:与本地文件系统进行交互、上传;下载和运行文件;运行终端命令等。

3.结论
从研究结果来看,研究人员认为HiddenWasp看起来像是一种有针对性的攻击植入物。尽管很难说它是由国家赞助的攻击者还是其他人使用的,但它绝对不是通常的DDOS 或挖矿恶意软件。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: