Linuxový malware HiddenWASP

Zde řešíme problémy s ostatními distribucemi Linuxu
Odpovědět
Zpráva
Autor
Uživatelský avatar
redhawk
Guru Mintu
Příspěvky: 3004
Registrován: 12 led 2016, 19:14
Bydliště: ako kedy

Linuxový malware HiddenWASP

#1 Příspěvek od redhawk » 13 čer 2019, 22:55

vzhladom k sireniu paniky davam na vedomie:
29.5.2019 bol reportovaný a mnohými médiami zverejnený nový malvér pre OS GNU/Linux.

Chcem upozorniť, že nič nie je také horúce ako propagujú médiá, na druhej strane však upozorňujem že ide o reálnu hrozbu.
Pre túto infekciu musí byť získaný shellový skript a následne spustený ako root. Ten stiahne trojan a následne ten získa rootkit a pripojí sa do botnetu.

Hiddenwasp je veľmi podobný staršiemu malvéru Elknot/DnsAmp.

Takže poďme sa pozrieť, veľmi zjednodušene, ako to prebieha:

Stiahli sme si, bol nám doručený, shell skript s názvom 103.206.123.13:8080.Upgrade.sh alebo 103.206.122.245:8080.Upgrade.sh s veľkosťou 253B s digitálnou signatúrou (podpisom) ThinkDream Technology ltd. z Hong Kongu. Pokiaľ daný skript nespustíme ako root nič sa nedeje a na rozdiel od Microsoft platformy je neškodný a ľahko editovateľný cez textový editor.

Takže daný skript xxx.xxx.xxx.xxx:xxxx.Upgrade.sh sa musí spustiť manuálne ako root a ten následne v prvých krokoch vytvorí spojenie na adresu (v mojom pripade) 103.206.122.245:8787/test?data=xxn odtiaľ si stiahne do tmp archív configUpdate.tar.gz s modifikovanými súbormi libselinux, libselinux.a, libselinux.so.

Tento trojan si následne stiahne rootkit a prevedie pripojenie PC do Botnetu.

Zaujímavosťou na tom je, že zdrojový kód je veľmi podobný malvéru azazel od NSA.
Ak máte záujem, pre komplexnú analýzu odporúčam blog Intezeru kde je komplexne HiddenWasp analyzovaný.
Pravděpodobně kecám.

Odpovědět