Угрозы для систем Linux обычно не упоминаются подробно, как это делается с их экосистемой безопасности Windows. В основном это связано с тем, что во многих случаях атаки даже не обнаруживаются механизмами безопасности бизнеса, но также потому, что они не так важны, чтобы о них широко сообщали исследователи безопасности.
Конечно, это не означает, что больше нет серьезных угроз для системы Linux, таких как специализированное вредоносное ПО, использующее расширенные методы обнаружения, которые могут использовать доступный открытый исходный код. По данным компании Cyber Security Intezer, такое вредоносное ПО появилось недавно. Он называется HiddenWasp, и что делает его сейчас довольно опасным, так это то, что он не обнаружен ни одной из популярных систем защиты от вредоносных программ.
Как HiddenWasp атакует системы Linux?
Первый шаг вредоносного ПО использует начальный сценарий для разработки вредоносного программного обеспечения. Скрытый сценарий использует имя пользователя sftp с мощным паролем и очищает систему для удаления более старых версий вредоносного ПО, если компьютер уже был заражен.
Затем он загружает с сервера файл, содержащий все элементы, включая руткит и троян. Сценарий также пытается добавить троян в /etc/rc.local для работы даже после перезагрузки системы.
Руткит, участвующий во вредоносном программном обеспечении, имеет много общего с руткитом Azazel с открытым исходным кодом. Он также разделяет строки с вредоносным ПО ChinaZ, руткитом Adore-ng и вредоносным ПО Mirai. Что касается возможностей этого вредоносного ПО, оно может запускать команды на терминале, выполнять файлы, загружать больше сценариев и т. Д.
Исследователи безопасности, однако, до сих пор не знают, кто является настоящим вредоносным ПО. Но они подозревают, что HiddenWasp работает как вторичная полезная нагрузка, поскольку распространяется на системы Linux, которые уже заражены и взломаны.
Для получения более подробной информации о новой вредоносной программе HiddenWasp, вы можете посетить ее Блог Интезера.