Sikkerhed forskere på
Dr. Web tirsdag afsløret detaljer om den Trojanske Linux.Ekoms.1, som tager skærmbilleder og optager lyd for at få adgang til følsomme og personlige oplysninger, primært fra Linux-servere.
Malware til Linux bliver mere forskelligartet og omfatter spyware-programmer, ransomware og Trojanske heste, der er designet til at udføre distribueret denial-of-service-angreb, ifølge Dr. Web. Forskere ikke vurdere alvoren af truslen når malware inficerer computere.
Videregivelse heller ikke give oplysninger om kilde til malware eller omfanget af sin trussel om at servere eller stationære computere, der kører open source OS.
“Malware er fokuseret på overvågning af, hvad en bruger gør, selv om de fleste Linux systemer er servere. Derfor, de vil ikke være lige så værdifuld for skærmbilleder og lyd optagelser til angriberne,” siger Ben Johnson, chef sikkerhed strateg på
Bit9+Carbon Black.
Linux er normalt en server eller infrastruktur komponent, så det ikke kommer til at være reimaged eller ændres så ofte, som en enkelt maskine, han fortalte LinuxInsider.
“Det betyder, at selv hvis systemet ikke har saftigt data, det kunne være en meget overbevisende skjule stedet for måneder eller år til en modstander,” Johnson sagde.
Mangelfulde Oplysninger
Lidt er kendt om oprindelsen af Linux.Ekoms.1 eller dets tilsigtede mål. Den malware tager screenshots og kan optage lyd. Det sparer dem, lydoptagelser som en .aat filer i WAV-format. Men der har ikke bruges overalt, Dr. Web, siger forskerne.
“Dette er en Trojan, som betyder, at den forklæder sig som noget andet. En bruger kan komme narret til at downloade dette stykke software, tro, at det var for nogle andre formål, og senere hans/hendes maskine, kan blive smittet,” sagde Chenxi Wang, chief strategy officer i
Twistlock.
Den primære trussel fra malware er oplysninger lækage og krænkelse af privatlivets fred, hun fortalte LinuxInsider. Målet måske center på aktiviteter, der endnu ikke er fuldt implementeret.
“Som malware gør optagelser af brugerens hver aktivitet i skærmbilleder og lydoptagelse, skal den, der styrer malware ved enhver bevægelse af brugeren, samt de programmer, der kører på maskinen,” sagde Wang.
Hvordan Det Virker
Når malwaren er lanceret, Linux.Ekoms.1 ser ud for en undermappe i hjemmet mappe, der indeholder filer med de angivne navne.
Det ser ud til, at disse detaljer:
$HOME/$DATA/.mozilla/firefox/profileret
$HOME/$DATA/.dropbox/DropboxCache
hvor $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)
Hvis det ikke lykkes at finde de to filer, er det tilfældigt vælger en undermappe for at redde sin egen kopi, der ved hjælp af en af de to fil-navne, ifølge Dr. Web forskere.
Den Trojanske så starter op på en ny placering. Hvis det lykkes, er det ondsindede program etablerer en forbindelse til en server. Særlige adresser, som er hard-coded i sin krop.
Hvad Betyder Det
Den Trojanske tager et screenshot hver 30 sekunder, og gemmer det til en midlertidig mappe i JPEG-format. Hvis filen er ikke gemt den Trojanske forsøger at gemme det i formatet BMP. Den midlertidige mappe, der er sendt til serveren i angivne intervaller.
Alle oplysninger, der sendes mellem server og Linux.Ekoms.1 er krypteret. Den Trojanske krop har den RSA-nøgle, der bruges til at få AES session nøgle.
Den kryptering, der i første omgang er udført ved hjælp af den offentlige nøgle. Dekryptering udføres ved at gennemføre RSA_public_decrypt funktion, at de modtagne data.
Den Trojanske udveksling af data med serveren ved hjælp AbNetworkMessage. Id-line bestemmer den udførte handling.
Den Trojanske lancerer EkomsAutorun tjenester. Det sparer følgende oplysninger til $HOME/.config/autostart/%exenavn%.desktop-fil:
[Desktop Entry]
Type=Application
Navn=%exenavn%
Exec=%pathtoexe%
Terminal=false
Angreb på Fremmarch
Alle edb-systemer i dag er vidne til en stigning i malware. Linux-systemer har en højere sandsynlighed for at blive Internet-vender servere, og de kan have lukrative data, i henhold til Bit9+Carbon Black ‘ s Johnson.
“Som et resultat, disse [Linux] – systemer er i trådkorset. Desuden, WordPress og andre tjenester, der måtte have kendt, offentligt søgbare sårbarheder. Dette gør en attraktiv angreb,” sagde han.
Linux-malware er ved at vinde momentum, som virksomheder vedtage mere og mere open source-projekter. Mere Internet af Ting enheder er bygget på skrabet Linux-systemer, i henhold til Twistlock er Wang.
“Dette er især tilfældet i udvikler-drevet miljø, hvor kontinuerlig integration og kontinuerlig levering sker. I disse miljøer, Linux er den primære platform for udvikling og drift,” sagde hun.
Væksten i Linux i skyen er også en stærk medvirkende faktor.
“Det er ikke overraskende, mere og mere malware-forfattere er rettet mod Linux-platform,” sagde Wang.
Linux Stadig Mere Sikre
Linux generelt betragtes som mere sikre end andre platforme. Selv med den kraftige stigning i Linux sårbarheder, open source platform er stadig mere låst fast end andre muligheder.
“Linux er stadig betydeligt bedre end Windows i form af omfanget og sværhedsgraden af sikkerhedstrusler. Men så længe dens popularitet fortsætter med at stige, især flere og flere virksomheder flytter til et udvikler-drevet operationer model, ser vi, at Linux vil følge den velkendte bane af Windows, som der vil være mange sorter af aktive trusler,” Wang har bemærket.
Spørgsmålet om, hvor længe Linux sikkerhed vil forblive på det nuværende niveau kunne komme ned til fællesskabet i fokus. Nye defensive strategier, der kan være nødvendige.
“Generelt set, sikkerhed samfund har ikke primært været fokuseret på Linux,” Johnson bemærkede, “så der er ikke så mange forsvar mod angreb.”
