Säkerhet forskare vid
Dr. Web på tisdag avslöjas detaljer om det Trojanska Linux.Ekoms.1, som tar skärmdumpar och registrerar ljud för att komma över känslig och personlig information, mestadels från Linux-servrar.
Skadlig programvara för Linux blir mer varierande och innehåller spyware-program, ransomware och Trojaner utformade för att genomföra en distribuerad denial-of-service-attacker, enligt Dr. Web. Forskarna inte bedöma allvaret i hotet när det skadliga programmet infekterar datorer.
Utlämnande kunde heller inte ge information om den källa av skadlig kod eller omfattningen av dess hot mot servrar eller datorer som kör open source OS.
“Malware är inriktad på att övervaka vad användarna gör, även om de flesta Linux-system är servrar. Därför, kommer de inte att vara lika värdefull för skärmdumpar och ljudinspelningar för att angriparna”, sade Ben Johnson, chief security strateg på
Bit9+Carbon Black.
Linux är vanligtvis en server eller infrastruktur komponent, så att det inte kommer att vara reimaged eller ändras så ofta som en individuell maskin, han berättade LinuxInsider.
“Detta innebär att även om systemet inte har saftig data, det kan vara ett mycket övertygande gömma plats för månader eller år på en motståndare,” Johnson sa.
Oklara Uppgifter
Lite är känt om ursprunget av Linux.Ekoms.1 eller dess avsedda mål. Malware tar skärmdumpar och kan spela in ljud. Det sparar de ljudinspelningar som en .aat-fil i WAV-format. Men att funktionen inte användas överallt, Dr. Web forskarna säger.
“Detta är en Trojan, vilket innebär att det döljer sig som något annat. En användare kan luras att ladda ner detta program, tänkte att det var för några andra ändamål, och därefter hans/hennes dator kan bli smittad,” sade Chenxi Wang, som är chief strategy officer på
Twistlock.
Det främsta hotet för skadlig kod är informationsläckage och kränkningar av den personliga integriteten, hon berättade LinuxInsider. Målet kanske center på verksamhet som ännu inte genomförts fullt ut.
“Malware gör inspelningar av användarens varje aktivitet i tv skott och röstinspelning, vem styr malware vet varje steg av användare såväl som de program som körs på den maskinen,” sade Wang.
Hur Det Fungerar
När det skadliga är lanserade, Linux.Ekoms.1 ser ut för en undermapp i hem-katalog som innehåller filer med angivna namn.
Det ser för dessa uppgifter:
$HOME/$DATA/.mozilla/firefox/profilerat
$HOME/$DATA/.dropbox/DropboxCache
där $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)
Om det inte går att hitta dessa två filer, det slumpmässigt väljer en undermapp om du vill spara en egen kopia av det med en av de två filnamn, enligt Dr. Web forskare.
Trojan så startar från en ny plats. Om det lyckas, skadliga program upprättar en anslutning till en server. Specifika adresser är hårdkodade i sin kropp.
Vad Den Gör
Den Trojanska tar en skärmdump varje 30 sekunder och sparar den till en temporär mapp i JPEG-format. Om filen inte sparas, den Trojanska försöker spara i BMP-format. Den tillfälliga mappen skickas till servern i angivna intervall.
All information som skickas mellan server och Linux.Ekoms.1 är krypterad. Trojan: s kropp har RSA-nyckel som används för att få AES session key.
Kryptering inledningsvis utförs med hjälp av den offentliga nyckeln. Dekryptering är utförda genom att genomföra RSA_public_decrypt funktion för att mottagna data.
Den Trojanska utbyter data med servern med hjälp AbNetworkMessage. Id-linje avgör utförda åtgärder.
Den Trojanska lanserar EkomsAutorun tjänster. Det sparar följande information till $HOME/.config/autostart/%program%.desktop-fil:
[Desktop Entry]
Typ=Ansökan
Name=%program%
Exec=%pathtoexe%
Terminalen=false
Attacker på Uppgång
Alla datasystem i dag ser en ökning av skadlig kod. Linux har en högre sannolikhet för att Internet-inför servrar och kan ha lukrativa uppgifter, enligt Bit9+Carbon Black ‘ s Johnson.
“Som ett resultat, dessa [Linux] system är i cross-hår. Dessutom, WordPress och andra tjänster kan ha känt, offentligt sökbar sårbarheter. Detta gör att en attraktiv angrepp,” sade han.
Linux malware är att få fart som företag antar mer och mer open source-projekt. Mer sakernas Internet enheter är byggda på avskalad Linux-system, enligt Twistlock är Wang.
“Detta är särskilt sant i developer-driven miljöer där continuous integration och continuous delivery är som händer. I dessa miljöer, Linux är den primära plattform för utveckling och drift”, sade hon.
Tillväxten för Linux i molnet är också en stark bidragande faktor.
“Inte överraskande, allt fler malware författare inriktning på Linux-plattformen,” sade Wang.
Linux Fortfarande Säkrare
Linux i allmänhet betraktas som mer säkra än andra plattformar. Även med den kraftiga ökningen i Linux sårbarheter, open source-plattformen är fortfarande mer låst än andra alternativ.
“Linux är fortfarande betydligt bättre än Windows i termer av volym och svårighetsgraden av säkerhetshot. Men så länge som dess popularitet fortsätter att öka, framför allt fler och fler företag att flytta till en utvecklare som drivs verksamheten modell, ser vi att Linux kommer att följa den välkända banan för Windows, som det kommer att bli många sorter av aktiva hot,” Wang noteras.
Frågan om hur länge Linux säkerhet kommer att ligga kvar på nuvarande nivå, skulle kunna komma ner till gemenskapen fokus. Nya defensiva strategier kan behövas.
“Generellt sett, säkerhet samhället har inte främst varit inriktad på Linux,” Johnson konstaterade, “så det finns inte så många försvar mot angrepp.”
