En ny stamme av malware rettet mot Linux-systemer, kalt “Linux/Shishiga,” kunne forvandle seg til en farlig sikkerhetstrussel.
Eset på tirsdag offentliggjort trusselen, som representerer en ny Lua familie som ikke er relatert til tidligere sett LuaBot malware.
Linux/Shishiga bruker fire forskjellige protokoller — SSH, Telnet, HTTP, og BitTorrent-og Lua-skript for fleksibilitet, skrev Deteksjon Ingeniør Mikal Malik og Eset forskerteam i en online-post.
“Lua er et språk med valg av APT beslutningstakere,” bemerket Nick Bilogorskiy, senior director of trussel operasjoner på
Cyphort.
Det har vært brukt for Flamme og, som Cyphort oppdaget, EvilBunny, fortalte han LinuxInsider.
Lua er et programmeringsspråk som er preget av sin lette, innebygde natur, noe som gjør det til en effektiv scripting språk. Den støtter prosessuelle programmering, objektorientert programmering, funksjonell programmering, data-drevet programmering og data beskrivelse.
“Mens denne nye belastning av skadelige programvaren ikke bryter ny mark i form av utnyttelse, den foredler noen eksisterende teknikker det lånt fra andre stammer av malware,” observert Jakob Ansari, PCI – /utbetaling leder i
Schellman & Company.
Linux/Shishiga “bruker en rekke moduler i et skriptspråk som kalles “Lua”, som gir en mer fleksibel design,” fortalte han LinuxInsider.
På grunn av sin modulære design, er det sannsynlig at varianter av denne koden med en rekke interessante muligheter vil sirkulere, Ansari advart.
Hva Den Gjør
Linux/Shishiga mål GNU/Linux-systemer ved hjelp av en vanlig infeksjon vektor basert på brute-å tvinge svak legitimasjon på en innebygd passord listen. Den malware bruker list til å prøve en rekke ulike passord i et forsøk på å få tilgang. Dette er en lignende tilnærming som brukes av Linux/Elg, med den ekstra evne til brute-å tvinge SSH legitimasjon.
Ved sammenligning av Linux/Elg er en malware familie som primært mål Linux-basert forbrukeren rutere, kabel og DSL-modemer og andre innebygde datamaskiner. Når infisert, den kompromitterte enheter som brukes til å stjele ukryptert trafikk og tilbyr proxy-tjenester for botnet operatør.
Eset funnet flere binærfiler av Linux/Shishiga for ulike arkitekturer, inkludert MIPS (både stor – og little-endian), ARM (armv4l), i686, og PowerPC, som vanligvis brukes i IoT enheter, Malik og Eset forskerteam bemerket. Andre arkitekturer, som SPARC, SH-4 eller m68k, også kunne støttes.
Shishiga ‘ s Anatomy
Linux/Shishiga er en binær fullpakket med UPX (ultimate packer for kjørbare filer) 3.91. Den UPX verktøyet potensielt har problemer med utpakking det fordi Shishiga legger til data på slutten av pakket fil. Etter utpakking, det er knyttet statisk med Lua runtime library og strippet for alle symboler.
Det har vært noen mindre endringer i løpet av de siste ukene, Malik et al observert. For eksempel deler av enkelte modulene ble omskrevet, andre testing moduler ble lagt, og overflødige filer som ble fjernet.
Ingen av disse modifikasjonene var spesielt verdt å merke seg, selv om de erkjente.
Serveren.lua modul viktigste funksjonaliteten er å skape en HTTP-server med porten som er definert i config.lua som port 8888, Malik og teamet er angitt. Serveren svarer bare til /info og /upload forespørsler.
Kombinasjonen av ved hjelp av skriptspråket Lua, og knytter det statisk med Lua tolk bibliotek, er interessant, foreslo Mounir Hahad, senior director ved Cyphort Labs.
“Dette betyr at forfatterne enten velger Lua som et skriptspråk for sin brukervennlighet,” fortalte han LinuxInsider, “eller arvet kode fra en annen malware familien, så bestemte meg for å tilpasse den for hver målrettede arkitektur ved å knytte statisk den Lua biblioteket.”
Forskjeller Konkluderende
Til tross for en slående likhet til LuaBot tilfeller som spres gjennom svake Telnet og SSH legitimasjon, Linux/Shishiga er forskjellige, i henhold til Malik og Eset forskere. Den bruker BitTorrent-protokollen, og Lua moduler.
Shishiga fortsatt kan utvikle seg og bli mer utbredt, sa de. Det lave antallet ofre så langt-så godt som konstant å legge til, fjerne og endre komponenter, kode kommentarer og til og med debug-informasjon, som klart indikerer at det er et arbeid som pågår.
“I motsetning til IoT malware Mirai, som målrettet standard legitimasjon på IoT enheter, dette brute force forsøk på å redusere Linux-datamaskiner som er rettet mot svake passord folk ville ha valgt,” sa Hahad.
Vanligvis, Linux-brukere er ganske kunnskapsrike og ville ikke bruke slike passord i første omgang, påpekte han. “Derfor er det lite trolig at vi vil se en stor spredning av denne malware i sin nåværende tilstand.”
Likevel, med Eset forskere har advart om at antallet ofre, som nå er lav, vil kunne øke.
Som kan skje, sa Schellman & Selskapets Ansari. Denne nye malware utnytter standard eller lett å gjette passord for Linux-systemer, typisk via telnet eller SSH.
“Fremtiden varianter kan inneholde moduler som forsøk på annen oppføring eller bare utvide dette med flere passord forsøk — eller begge,” sa han.
Trygg
De fleste Linux-maskiner enten kjører i datasentre eller innebygd i IoT enheter, bemerket Vikram Kapoor, chief technology officer i
Lacework.
Shishiga ser ut som det er rettet mot data sentre eller IoT enheter, fortalte han LinuxInsider.
“IoT enheter som er spesielt sårbare for brute force passord angrep via SSH/Telnet siden mange har standard passord,” Kapoor sa. “Også, datasentre hold crown jewel mål, og hvis angriperne bruker Shishiga hell mot et datasenter, foretak vil ha en vanskelig tid å finne sine spor, med mindre de har noen løsning som analyserer inne i VM aktivitet, og øst-vest-trafikk.”
For å hindre at enhetene dine fra å bli smittet av Shishiga og lignende ormer, bør du ikke bruke standard Telnet og SSH legitimasjon, foreslo Malik og Eset research team.
Tiltak mot denne eksakte stykke malware krever endre administrator passord, spesielt for glemt brukerne gjemmer seg i hjørnene på glemt systemer, i henhold til Ansari.
“Forsvar mot denne kategorien av trusselen krever slags forsvar i dybden som sikkerhet folk har snakket om i lang tid: aggressiv lapp, nøye gjennomgang av logg data, og se etter mistenkelige filer eller prosesser, og grundig testet incident response.”
Jack M. Germain har vært en ECT Nyheter Network reporter siden 2003. Hans viktigste fokusområder er IT -, Linux og åpen kildekode-teknologier. Han har skrevet en rekke anmeldelser av Linux-distroer og andre open source programvare.
E-Jack.