WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Trojan đa mục tiêu Xunpes tấn công hệ thống Linux
Một biến thể trojan mới nhắm mục tiêu tấn công vào các hệ thống Linux vừa bị phát hiện có hành vi tấn công độc hại trên nhiều phương diện, theo nghiên cứu của hãng Dr.Web.
Mã độc có tên Linux.BackDoor.Xunpes.1 được tìm thấy bao gồm một trình thả (dropper) và một backdoor. Biến thể mới hơn của mã độc được sử dụng để thực hiện các hoạt động gián điệp trên thiết bị bị lây nhiễm. Trình thả được tạo ra có sử dụng Lazarus – một bộ công cụ hỗ trợ đa nền tảng miễn phí cho trình biên dịch (compiler) Free Pascal và có chứa backdoor, Dr.Web giải thích.
Backdoor được lưu trữ ở dạng không mã hóa trong trình thả và được lưu trong folder /tmp/.ltmp/ sau khi trình thả được tạo. Hãng Dr.Web cũng cảnh báo rằng đây là thành phần thứ hai của trojan và phụ trách thực hiện các hành vi độc hại chính của mã độc.
Một khi việc lây nhiễm thành công, trojan đa mục tiêu này có thể thực hiện các hành vi như tải file về thiết bị bị lây nhiễm, chiếm quyền điều khiển bằng file, chụp màn hình, theo dõi thao tác bàn phím và nhiều hành vi khác.
Ngay sau khi được tạo, backdoor sử dụng chìa khóa được mã hóa cứng sẵn có để giải mã file cấu hình chứa một danh sách máy chủ C&C và địa chỉ máy chủ proxy cùng với thông tin cần thiết để điều khiển bình thường. Tiếp theo, trojan thiết lập mối liên kết với máy chủ C&C và chờ lệnh từ tin tặc.
Dr.Web tiết lộ trojan Linux.BackDoor.Xunpes.1 có khả năng thực thi hơn 40 lệnh, đánh cắp thông tin người dùng hoặc …
Ngoài ra, hãng Dr.Web cũng phát hiện thất trojan có thể gửi tên file trong một thư mục đặc biệt và có thể tải những file này lên máy chủ, sau đó tạo, xóa hoặc đổi tên file và folder. Không những thế, tin tặc đứng đằng sau mã độc này còn có thể sử dụng trojan để thực thi lệnh, gửi thông tin về thiết bị, file cấu hình mặc định .default.conf, đóng cửa sổ chính và hơn thế nữa.
Tuần trước, Dr.Web vừa phát hiện một biến thể khác của mã độc Linux mang tên Linux.Ekoms.1, được thiết kế để chụp màn hình trên thiết bị bị lây nhiễm 30 giây mỗi lần và gửi ảnh về máy chủ C&C sau khi đã mã hóa.
Nguồn: Security Week
Mã độc có tên Linux.BackDoor.Xunpes.1 được tìm thấy bao gồm một trình thả (dropper) và một backdoor. Biến thể mới hơn của mã độc được sử dụng để thực hiện các hoạt động gián điệp trên thiết bị bị lây nhiễm. Trình thả được tạo ra có sử dụng Lazarus – một bộ công cụ hỗ trợ đa nền tảng miễn phí cho trình biên dịch (compiler) Free Pascal và có chứa backdoor, Dr.Web giải thích.
Backdoor được lưu trữ ở dạng không mã hóa trong trình thả và được lưu trong folder /tmp/.ltmp/ sau khi trình thả được tạo. Hãng Dr.Web cũng cảnh báo rằng đây là thành phần thứ hai của trojan và phụ trách thực hiện các hành vi độc hại chính của mã độc.
Một khi việc lây nhiễm thành công, trojan đa mục tiêu này có thể thực hiện các hành vi như tải file về thiết bị bị lây nhiễm, chiếm quyền điều khiển bằng file, chụp màn hình, theo dõi thao tác bàn phím và nhiều hành vi khác.
Ngay sau khi được tạo, backdoor sử dụng chìa khóa được mã hóa cứng sẵn có để giải mã file cấu hình chứa một danh sách máy chủ C&C và địa chỉ máy chủ proxy cùng với thông tin cần thiết để điều khiển bình thường. Tiếp theo, trojan thiết lập mối liên kết với máy chủ C&C và chờ lệnh từ tin tặc.
Dr.Web tiết lộ trojan Linux.BackDoor.Xunpes.1 có khả năng thực thi hơn 40 lệnh, đánh cắp thông tin người dùng hoặc …
Ngoài ra, hãng Dr.Web cũng phát hiện thất trojan có thể gửi tên file trong một thư mục đặc biệt và có thể tải những file này lên máy chủ, sau đó tạo, xóa hoặc đổi tên file và folder. Không những thế, tin tặc đứng đằng sau mã độc này còn có thể sử dụng trojan để thực thi lệnh, gửi thông tin về thiết bị, file cấu hình mặc định .default.conf, đóng cửa sổ chính và hơn thế nữa.
Tuần trước, Dr.Web vừa phát hiện một biến thể khác của mã độc Linux mang tên Linux.Ekoms.1, được thiết kế để chụp màn hình trên thiết bị bị lây nhiễm 30 giây mỗi lần và gửi ảnh về máy chủ C&C sau khi đã mã hóa.
Nguồn: Security Week