安全專家發(fā)現Linux版“圖蘭”木馬
責編:admin |2014-12-12 13:23:01近日卡巴斯基和賽門鐵克的安全專家發(fā)現了一個極其隱秘的Linux間諜木馬,專門竊取全球政府部門和重要行業(yè)的敏感數據。
最新發(fā)現的Linux間諜木馬是卡巴斯基和賽門鐵克今年8月份發(fā)現的高級持續(xù)攻擊——圖蘭(Turla)的另外一塊拼圖。“圖蘭”主要攻擊目標是全球45個國家的政府部門、使領館、軍隊、教育科研機構以及醫(yī)藥公司,是當今最頂級的APT高級持續(xù)攻擊活動,與最近發(fā)現的Regin處于同一級別,與近年來發(fā)現的國家級惡意軟件如Flame、Stuxnet和Duqu很像,技術上高度復雜。
據卡巴斯基實驗室透露此前安全界僅發(fā)現基于Windows系統的“圖蘭”間諜木馬。而且由于“圖蘭”采用了Rootkit技術,極難被發(fā)現。
Linux間諜木馬的曝光表明“圖蘭”的攻擊面還覆蓋了Linux系統,與Windows版木馬類似,Linux版“圖蘭”木馬高度隱秘,使用常規(guī)方法(例如Netstat命令)根本無法察覺,該木馬進入系統后會隱藏并保持靜默潛伏,有時甚至會在目標的電腦中潛伏長達數年之久,直到攻擊者發(fā)送包含特定序列數字的IP包時才會被激活。
激活后Linux版圖蘭木馬可以執(zhí)行任意命令,甚至無需提升系統權限,任何一個普通權限用戶都能啟動它進行監(jiān)控。
目前安全界對Linux版圖蘭木馬及其潛在功能的了解還非常有限,已知信息包括該木馬由C和C++語言開發(fā),包含了必要的代碼庫,能夠獨立運行。圖蘭木馬的的代碼去除了符號信息,這使得研究者很難對其進行逆向工程和深入研究。
安全牛建議重要部門和企業(yè)的Linux系統管理員盡快自查是否感染了Linux版圖蘭木馬,方法很簡單:檢查出站流量中是否包含以下鏈接或地址:news-bbc.podzone[.]org or 80.248.65.183,這是目前已經發(fā)現的Linux版圖蘭木馬硬編碼的命令控制服務器地址。系統管理員還可以使用開源惡意軟件研究工具YARA生成證書,并檢測其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”兩個字符串。