Security forskere ved
Dr. Web tirsdag avslørte detaljer om den Trojanske Linux.Ekoms.1, som tar skjermbilder og registrerer lyd for å få tilgang til sensitiv og personlig informasjon, som for det meste fra Linux-servere.
Skadelig programvare for Linux er blitt mer mangfoldig og omfatter spyware-programmer, ransomware og Trojanere er designet for å bære ut distributed denial-of-service-angrep, ifølge Dr. Web. Forskere ikke vurdere alvorlighetsgraden av trusselen når malware infiserer datamaskiner.
Utlevering heller ikke gi detaljer om kilden til malware eller omfanget av sin trussel om å servere eller datamaskiner som kjører open source OS.
“Malware er fokusert på overvåking av hva et menneske brukere gjør, selv om de fleste Linux-systemer er servere. Derfor, de vil ikke være like verdifullt for skjermbilder og lyd opptak for å angripere,” sa Ben Johnson, chief security strateg på
Bit9+Carbon Black.
Linux er vanligvis en server eller infrastruktur komponent, slik at det ikke kommer til å være reimaged eller endres så ofte som en enkelt maskin, fortalte han LinuxInsider.
“Dette betyr at selv om systemet ikke har saftige data, kan det være en veldig spennende å skjule stedet for måneder eller år for en motstander,” Johnson sa.
Mangelfull Informasjon
Lite er kjent om opprinnelsen til Linux.Ekoms.1 eller dets tiltenkte mål. Den malware tar skjermbilder og kan ta opp lyd. Det sparer dem lydopptak som en .aat-fil i WAV-format. Imidlertid, at funksjonen ikke brukes hvor som helst, Dr. Web forskere sa.
“Dette er en Trojan, som betyr at det forkler seg som noe annet. En bruker kan bli lurt til å laste ned denne programvaren, tenker det var for noen andre formål, og senere hans/hennes kan maskinen bli infisert,” sa Chenxi Wang, chief strategy officer i
Twistlock.
Den primære trusselen mot malware er informasjon lekkasje og brudd på personvernet, fortalte hun LinuxInsider. Målet kan center på aktiviteter som ennå ikke er fullt ut implementert.
“Som malware gjør opptak av brukerens hver aktivitet i skjermbilder og taleopptak, den som kontrollerer malware kjenner hver bevegelse av brukeren, så vel som programmer som kjøres på maskinen,” Wang sa.
Hvordan Det Fungerer
Når den skadelige programvaren er lansert, Linux.Ekoms.1 ser ut for en undermappe i hjemmet katalogen som inneholder filer med angitt navn.
Det ser ut for disse detaljene:
$HOME/$DATA/.mozilla/firefox/profilert
$HOME/$DATA/.dropbox/DropboxCache
hvor $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)
Hvis det mislykkes i å finne disse to filer, er det tilfeldig velger en undermappe for å redde sin egen kopiere det å bruke en av disse to fil navn, i henhold til Dr. Web forskere.
Den Trojanske da starter fra et nytt sted. Hvis vellykket, det skadelige programmet oppretter en tilkobling til en server. Bestemte adresser er hardkodet i kroppen sin.
Hva Den Gjør
Den Trojanske tar et skjermbilde hver 30 sekunder, og lagrer det til en midlertidig mappe i JPEG-format. Hvis filen er lagret, den Trojanske prøver å lagre det i BMP-format. Den midlertidige mappen er sendt til serveren i gitte intervaller.
All informasjon som overføres mellom server og Linux.Ekoms.1 er kryptert. Den Trojanske kroppen har RSA-nøkkel som brukes for å få AES-sesjon-tasten.
Krypteringen som i utgangspunktet er utført ved hjelp av den offentlige nøkkelen. Arkivene er utført ved å implementere RSA_public_decrypt funksjonen til de mottatte data.
Den Trojanske utveksler data med serveren ved hjelp av AbNetworkMessage. Id-linje bestemmer den utførte handlingen.
Den Trojanske lanserer EkomsAutorun tjenester. Det lagrer følgende informasjon til $HOME/.config/autostart/%exenavn%.skrivebordet filen:
[Skrivebordet Entry]
Type=Søknad
Name=%exenavn%
Exec=%pathtoexe%
Terminal=false
Angrep på vei oppover
Alle pc-systemer i dag ser en økning i malware. Linux-systemer har en høyere sannsynlighet for å være Internett-mot-servere og kan ha lukrative data, i henhold til Bit9+Carbon Black Johnson.
“Som et resultat av disse [Linux] – systemer er i cross-hår. Videre, WordPress og andre tjenester som kanskje har kjent, offentlig søkbare sårbarheter. Dette gjør en attraktiv angrepsvektor,” sa han.
Linux-malware er å få fart som bedrifter ta i bruk mer og mer open source prosjekter. Mer Internet of Things enheter er bygget på nedstrippet Linux-systemer, i henhold til Twistlock er Wang.
“Dette er spesielt sant i developer-drevet miljøer der kontinuerlig integrasjon og kontinuerlig levering skjer. I de miljøer, Linux er den primære plattformen for utbygging og drift,” sa hun.
Veksten av Linux i skyen er også en sterkt medvirkende faktor.
“Ikke overraskende, stadig mer malware forfattere er rettet mot Linux-plattformen,” Wang sa.
Linux Fortsatt Er Tryggere
Linux generelt er ansett som sikrere enn andre plattformer. Selv med økningen i Linux sårbarheter, åpen kildekode-plattformen er fortsatt mer låst enn andre alternativer.
“Linux er likevel betydelig bedre enn Windows i form av volum-og alvorlighetsgraden av sikkerhetstrusler. Men så lenge dens popularitet fortsetter å stige, spesielt flere og flere bedrifter flytter til en utvikler-drevet virksomhet modellen, ser vi at Linux vil følge den kjente banen til Windows, der det vil være mange varianter av aktive trusler,” Wang bemerket.
Spørsmålet om hvor lenge Linux sikkerhet vil forbli på dagens nivå kunne komme ned til samfunnet fokus. Nye defensive strategier kan være nødvendig.
“Generelt sett, sikkerhet samfunnet ikke har i hovedsak vært fokusert på Linux,” Johnson bemerket, “så det er ikke så mange forsvar mot angrep.”
