En ny stam av skadlig kod riktade Linux-system, döpt till “Linux/Shishiga,” skulle förvandlas till ett farligt hot mot säkerheten.
Eset på tisdag avslöjas hotet, som representerar en ny Lua familj relaterade till tidigare sett LuaBot malware.
Linux/Shishiga använder fyra olika protokoll — SSH, Telnet, HTTP och BitTorrent — och Lua-skript för modularitet, skrev Upptäckt Ingenjören Michal Malik och Eset forskargrupp i en online-inlägg.
“Lua är ett språk val av APT beslutsfattare”, konstaterade Nick Bilogorskiy, senior chef för verksamheten vid hot
Cyphort.
Det har använts för Låga och, som Cyphort upptäckte, EvilBunny, han berättade LinuxInsider.
Lua är ett programmeringsspråk som kännetecknas av sin lätta, inbäddningsbar natur, vilket gör det till en effektiv skriptspråk. Det stöder procedurell programmering, objekt-orienterad programmering, funktionell programmering, data-driven programmering och data beskrivning.
“Även om denna nya stam av skadlig kod som inte bryter någon ny mark i termer av bedrifter, det förädlar vissa befintliga tekniker lånade från andra stammar av skadlig kod”, konstaterade Jacob Ansari, PCI/betalningar director på
Schellman & Company.
Linux/Shishiga “använder en serie moduler i ett skriptspråk som heter “Lua”, som ger den en mer flexibel design”, sa han till LinuxInsider.
På grund av sin modulära konstruktion, är det troligt att varianter av denna kod med en hel del intressanta funktioner kommer att cirkulera, Ansari varnade.
Vad Den Gör
Linux/Shishiga mål GNU/Linux-system med hjälp av en vanlig infektion vektor baserade på brute-tvinga svaga referenser på en inbyggd lösenord listan. Malware använder listan för att prova en mängd olika lösenord i ett försök att få tillgång till dem. Detta är en liknande metod som används av Linux/Älg, med extra förmåga att brute-tvinga SSH referenser.
Som jämförelse, Linux/Moose är en familj av skadlig kod som primärt mål för Linux-baserade konsumenten routrar, kabel-och DSL-modem, och andra inbäddade datorer. När smittade, äventyras enheter används för att stjäla okrypterat nätverk trafik och erbjuda proxy tjänster för botnät operatör.
Eset finns flera binärer för Linux/Shishiga för olika arkitekturer, inklusive MIPS (både big – och little-endian), ARM (armv4l), i686 och PowerPC, som är vanligt förekommande i sakernas internet enheter, Malik och Eset forskargrupp noteras. Andra arkitekturer, som SPARC, SH-4 eller m68k, också kan stödjas.
Shishiga ‘ s Anatomy
Linux/Shishiga är en binär packad med UPX (ultimate packer för körbara filer) 3.91. UPX verktyg eventuellt har problem med att packa upp det eftersom Shishiga lägger till data i slutet av den packade filen. Efter uppackning, det är statiskt länkade med Lua runtime library och fråntogs alla symboler.
Det har skett vissa mindre förändringar under de senaste veckorna, Malik et al observerats. Till exempel, delar av vissa moduler har skrivit, andra test moduler har lagts till, och överflödiga filer har tagits bort.
Ingen av dessa ändringar var speciellt anmärkningsvärt, men de erkände.
Servern.lua-modul: s viktigaste funktion är att skapa en HTTP-server med port som definierats i config.lua som port 8888, Malik och laget noterade. Servern svarar bara på /info /ladda upp förfrågningar.
Kombinationen av med Lua skript språk och länka den statiskt med Lua tolk bibliotek, som är intressant, föreslog Mounir Hahad, senior director på Cyphort Labs.
“Detta innebär att författarna antingen valde Lua som ett skriptspråk för sin användarvänlighet”, sa han till LinuxInsider, “eller ärvt kod från en annan familj av skadlig kod, bestämde sig då för att anpassa den för varje riktade arkitektur genom att länka statiskt Lua bibliotek.”
Skillnader Resultatlösa
Trots en slående likhet till LuaBot fall som sprids genom svaga Telnet och SSH-referenser, Linux/Shishiga är olika, enligt Malik och Eset forskare. Det använder sig av BitTorrent-protokollet och Lua-moduler.
Shishiga fortfarande kan utvecklas och bli mer omfattande, sade de. Det låga antalet offer så långt — liksom de ständiga lägga till, ta bort och ändra komponenter, kommentarer kod och även debug-information-visar tydligt att det är ett pågående arbete.
“Till skillnad från IoT malware Mirai, som riktade standard referenser på sakernas internet enheter, detta brute force försök till kompromiss Linux-datorer är inriktade på svaga lösenord människor skulle ha valt,” sade Hahad.
Typiskt, Linux-användare är ganska kunniga och skulle inte använda sådana lösenord i första hand, påpekade han. “Därför är det osannolikt att vi kommer att se en stor spridning av denna malware är i sitt nuvarande tillstånd.”
Fortfarande, Eset forskare har varnat för att antalet offer, som nu låg, kan öka.
Som kan hända, sade Schellman & Bolagets Ansari. Denna nya malware utnyttjar standard eller lättgissat lösenord för Linux-system, vanligtvis över telnet eller SSH.
“Framtida varianter kan innehålla moduler som försöker andra sätt att ta sig in eller bara utöka detta med fler lösenord försök — eller både och,” sade han.
Säkert
De flesta Linux-maskiner antingen kör i datacenter eller inbäddade i sakernas internet enheter, konstaterade Vikram Kapoor, chief technology officer på
Broderi.
Shishiga ser ut som det riktar sig mot datacenter eller sakernas internet enheter, han berättade LinuxInsider.
“Sakernas internet enheter är särskilt sårbar för brute force lösenord attacker över SSH/Telnet eftersom många har default lösenord,” Kapoor säger. “Också, data centers håll crown jewel mål, och om en angripare använda Shishiga framgångsrikt mot ett data center, kommer företagen att ha svårt att hitta sina spår om de inte har någon lösning som analyserar inne i VM-aktivitet, och öst-väst-trafik.”
För att förhindra att dina enheter från att smittas av Shishiga och liknande maskar, du bör inte använda standard Telnet och SSH-referenser, föreslog Malik och Eset forskargrupp.
Att motverka denna exakta bit av skadlig kod kräver att ändra administratörens lösenord, särskilt för glömt bort användare som gömmer sig i hörnen på glömda system, enligt Ansari.
“Att försvara sig mot denna typ av hot som kräver den typ av försvar på djupet som säkerhet folk har talat om för en lång tid: aggressiv lapp, att noggrant granska logga in data, söker misstänkta filer eller processer, och noggrant testade incidenthantering.”
Jack M. Germain har varit en ECT News Network reporter sedan 2003. Hans huvudsakliga fokusområden är företagets IT, Linux och öppen källkod. Han har skrivit många recensioner av Linux-distributioner och andra open source-programvara.
E-Jack.