WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Trojan hoạt động lén lút trên Linux trong nhiều năm
Các nhà nghiên cứu vừa phát hiện một loại trojan lén lút hoạt động trên các hệ thống Linux trong nhiều năm, được hacker sử dụng để lấy dữ liệu nhạy cảm từ các tổ chức chính phủ và công ty dược phẩm trên toàn thế giới.
Vào tháng 8, mã độc có tên "Turla” trên Windows được Kaspersky Lab và Symantec phát hiện. Chiến dịch tấn công sử dụng mã độc này đã nhắm tới chính phủ, đại sứ quán, quân đội và các tổ chức của hơn 45 quốc gia.
Kaspersky Lab cũng vừa phát hiện mã độc này trên nền tảng Linux. Turla được là công cụ đầu bảng sử dụng để tấn công APT (kiểu tấn công dai dẳng và có chủ đích), mã độc này có cùng ngôn ngữ với mã độc Regin mới được phát hiện gần đây.
Những con số bí ẩn
Giống như trên Windows, trojan trên Linux hoạt động lén lút. Không thể sử dụng lệnh netstat command thông thường để phát hiện. Để lẩn trốn, backdoor này nằm im cho đến khi kẻ xấu gửi các gói tin bất thường có chứa “con số ma thuật” trên số thứ tự. Mã độc không hề bị phát hiện và cư trú trên máy tính nạn nhân trong nhiều năm. Trojan này có thể chạy các lệnh tùy ý mà không đòi hỏi đặc quyền hệ thống.
Quản trị muốn kiểm tra mã độc Turla trên hệ thống Linux có thể thực hiện kiểm tra lưu lượng chuyển tới các kết nối news-bbc.podzone[.]org hoặc 80.248.65.183, đây là địa chỉ các kênh lệnh và kiểm soát được mã hóa cứng trong trojan Linux. Quản trị cũng có thể tạo chữ ký sử dụng tool có tên YARA để kiểm tra chuỗi "TREX_PID=%u" và "Remote VS is empty !"
Bài liên quan:
Chiến dịch Epic Turla khai thác lỗ hổng trên Windows XP
Vào tháng 8, mã độc có tên "Turla” trên Windows được Kaspersky Lab và Symantec phát hiện. Chiến dịch tấn công sử dụng mã độc này đã nhắm tới chính phủ, đại sứ quán, quân đội và các tổ chức của hơn 45 quốc gia.
Kaspersky Lab cũng vừa phát hiện mã độc này trên nền tảng Linux. Turla được là công cụ đầu bảng sử dụng để tấn công APT (kiểu tấn công dai dẳng và có chủ đích), mã độc này có cùng ngôn ngữ với mã độc Regin mới được phát hiện gần đây.
Những con số bí ẩn
Giống như trên Windows, trojan trên Linux hoạt động lén lút. Không thể sử dụng lệnh netstat command thông thường để phát hiện. Để lẩn trốn, backdoor này nằm im cho đến khi kẻ xấu gửi các gói tin bất thường có chứa “con số ma thuật” trên số thứ tự. Mã độc không hề bị phát hiện và cư trú trên máy tính nạn nhân trong nhiều năm. Trojan này có thể chạy các lệnh tùy ý mà không đòi hỏi đặc quyền hệ thống.
Quản trị muốn kiểm tra mã độc Turla trên hệ thống Linux có thể thực hiện kiểm tra lưu lượng chuyển tới các kết nối news-bbc.podzone[.]org hoặc 80.248.65.183, đây là địa chỉ các kênh lệnh và kiểm soát được mã hóa cứng trong trojan Linux. Quản trị cũng có thể tạo chữ ký sử dụng tool có tên YARA để kiểm tra chuỗi "TREX_PID=%u" và "Remote VS is empty !"
Nguồn: Ars Technica
Bài liên quan:
Chiến dịch Epic Turla khai thác lỗ hổng trên Windows XP
Chỉnh sửa lần cuối bởi người điều hành: