En ny stamme af malware rettet mod Linux-systemer, døbt “Linux/Shishiga,” kan morph i en farlig trussel mod sikkerheden.
Eset på tirsdag afsløres den trussel, som repræsenterer en ny Lua familie relateret til tidligere set LuaBot malware.
Linux/Shishiga bruger fire forskellige protokoller — SSH, Telnet, HTTP, og BitTorrent-og Lua-scripts til modularitet, skrev Registrerings-Ingeniør Michal Malik og Eset forskning team i en online-indlæg.
“Lua er et sprog valg af APT beslutningstagere,” bemærkede Nick Bilogorskiy, senior director for trussel operationer på
Cyphort.
Det har været brugt til Flamme, og som Cyphort opdaget, EvilBunny, fortalte han LinuxInsider.
Lua er et programmeringssprog, som er kendetegnet ved det lette, integrerede karakter, som gør den til en effektiv scripting sprog. Det understøtter procedural programmering, objektorienteret programmering, funktionel programmering, data-drevne teknologi og data beskrivelse.
“Mens denne nye stamme af malware ikke bryder nye praksis i form af exploits, der forædler nogle af de eksisterende teknikker, er det lånt fra andre stammer af malware,” bemærkede Jakob Ansari, PCI/betalinger direktør i
Schellman & Company.
Linux/Shishiga “bruger en serie af moduler i et scripting-sprog kaldet ‘Lua, der giver det et mere fleksibelt design,” fortalte han LinuxInsider.
På grund af det modulære design, er det sandsynligt, at varianter af denne kode med en masse interessant kapaciteter, som vil cirkulere, Ansari advaret.
Hvad Betyder Det
Linux/Shishiga mål GNU/Linux-systemer ved hjælp af en almindelig infektion vektor baseret på brute-forcing svage legitimationsoplysninger på en indbygget password-listen. Den malware bruger listen til at prøve en række forskellige passwords i et forsøg på at få adgang. Dette er en lignende metode, der anvendes af Linux/Elg, med den ekstra kapacitet til at brute-forcing SSH-legitimationsoplysninger.
Ved sammenligning, Linux/Elg er en malware familie, der primært henvender sig til Linux-baseret forbrugeren routere, kabel-og DSL-modem, og andre indlejrede computere. Når smittet, kompromitteret enheder bruges til at stjæle ukrypteret netværk trafik og tilbyde proxy service for botnet-operatør.
Eset har fundet flere binære filer i Linux/Shishiga for forskellige arkitekturer, herunder MIPS (både store og små endian), ARM (armv4l), i686, og PowerPC, som er almindeligt anvendt i IoT-enheder, Malik og Eset forskning team er angivet. Andre arkitekturer, som SPARC -, SH-4 eller m68k, også kunne støttes.
Shishiga ‘ s Anatomy
Linux/Shishiga er en binær pakket med UPX (ultimate packer for eksekverbare filer) 3.91. UPX værktøj, der potentielt har problemer med udpakning det, fordi Shishiga tilføjer data i slutningen af en pakket fil. Efter udpakning, og det er forbundet statisk med Lua runtime library og frataget alle symboler.
Der har været nogle mindre ændringer i løbet af de sidste par uger, Malik et al observeret. For eksempel, dele af nogle moduler blev omskrevet, andre test af moduler blev tilføjet, og overflødige filer, der blev fjernet.
Ingen af disse ændringer var især bemærkelsesværdigt, selvom de erkendte.
Serveren.lua modul vigtigste funktionalitet er at skabe en HTTP-server med porten, som er defineret i config.lua som port 8888, Malik og holdet noteres. Serveren svarer kun til /info-og /upload anmodninger.
Kombinationen af brug af Lua-scripting-sprog, og forbinder det med statisk Lua-fortolker-bibliotek, er interessant, foreslog Mounir Hahad, senior director hos Cyphort Labs.
“Dette betyder, at forfatterne enten valgte Lua som et scripting sprog for sin brugervenlighed,” fortalte han LinuxInsider, “eller arvede kode fra en anden malware familie, så besluttede at skræddersy det for hver målrettet arkitektur ved at knytte statisk Lua bibliotek.”
Forskelle Resultatløse
På trods af en slående lighed til LuaBot tilfælde, der spredes via svag Telnet og SSH-legitimationsoplysninger, Linux/Shishiga er forskellige, ifølge Malik og Eset forskere. Det bruger BitTorrent-protokollen, og Lua-moduler.
Shishiga, der stadig kan udvikle sig og blive mere udbredt, sagde de. Det lave antal af ofre, så langt-så godt som den konstante tilføjelse, fjernelse og ændring af komponenter, kode kommentarer og selv debug information-viser klart, at det er et arbejde i gang.
“I modsætning til tingenes internet malware Mirai, der målrettet standardlegitimationsoplysninger på IoT-enheder, dette brute force forsøg på at kompromittere Linux-computere er rettet mod svage adgangskoder mennesker ville have valgt,” sagde Hahad.
Typisk Linux-brugere er temmelig kyndige og ville ikke bruge sådanne adgangskoder i første omgang, påpegede han. “Derfor er det usandsynligt, at vi vil se en stor spredning af denne malware i sin nuværende tilstand.”
Stadig, Eset forskere har advaret om, at antallet af ofre, som nu er lavt, kunne øge.
Der kunne ske, sagde Schellman & Company ‘ s Ansari. Dette nye malware udnytter standard eller let at gætte passwords til Linux-systemer, typisk via telnet eller SSH.
“Fremtiden varianter kan indeholde moduler, der forsøger andre former for indlæg eller blot supplere med mere password attempts — eller begge dele,” sagde han.
Opholder Sig Sikker
De fleste Linux-maskiner, der enten kører i datacentre eller indlejret i enheder, tingenes internet, bemærkes, Vikram Kapoor, chief technology officer ved
Kniplinger.
Shishiga ser ud som om det er rettet mod data-centre eller enheder, tingenes internet, fortalte han LinuxInsider.
“Tingenes internet enheder, der er særligt sårbare over for brute force password-angreb via SSH/Telnet, da mange har en standard passwords,” Kapoor sagde. “Også, datacentre hold kronjuvel mål, og hvis angriberne bruge Shishiga med succes mod et datacenter, vil virksomhederne have svært ved at finde deres spor, medmindre de har en løsning, der analyserer inde i VM aktivitet, og øst-vest trafik.”
For at forhindre, at dine enheder bliver smittet med Shishiga og lignende orm, du bør ikke bruge standard Telnet og SSH-legitimationsoplysninger, foreslog, at Malik og Eset forskning team.
Bekæmpelse af netop dette stykke af malware, kræver ændring af administrator passwords, især for glemt brugere gemmer sig i hjørnerne, glemt systemer, i henhold til Ansari.
“Forsvaret mod denne kategori af trussel kræver den slags forsvar i dybden, at security-folk har talt om i lang tid: aggressiv patching, omhyggeligt at gennemgå log data på udkig efter mistænkelige filer eller processer, og nøje testet incident response.”
Jack M. Germain har været en ECT News Network reporter siden 2003. Hans vigtigste områder, hvor fokus er på virksomhedens IT -, Linux-og open source-teknologier. Han har skrevet en lang række anmeldelser af Linux-distributioner og andre open source-software.
E-Mail Jack.