IOControl - liderança em desempenho de armazenamento híbrido
Pesquisadores de segurança descobriram um backdoor Linux que utiliza um protocolo de comunicação secreto para disfarçar sua presença em sistemas comprometidos.
O de malware foi usado em um ataque a um grande (sem nome) provedor de hospedagem em maio. Ele habilmente tentou evitar desencadeando qualquer alarme, injetando suas próprias comunicações para o tráfego legítimo, conversas especificamente SSH. SSH é um protocolo comumente usado para acessar contas de shell no Unix-like sistemas operacionais, uma atividade contínua para administração remota de sites.
Os bandidos desconhecidos ou ciberespiões por trás desse ataque informações de registro do cliente, aparentemente alvo, tais como nomes de usuários, e-mails e senhas usando o malware sutil e furtiva, de acordo com uma análise do backdoor por pesquisadores de segurança da Symantec.
Além disso, o malware fez uso do algoritmo de criptografia Blowfish para criptografar envios de dados roubados ou outras comunicações com a rede de comando e controle.
Os atacantes entendido o ambiente de destino foi geralmente bem protegidos. Em particular, os atacantes necessário um meio para evitar o tráfego de rede suspeito ou arquivos instalados, o que pode ter provocado uma revisão de segurança. Demonstrando sofisticação, os atacantes desenvolveu seu próprio backdoor Linux furtivo para camuflar-se dentro do Secure Shell (SSH) e outros processos do servidor.Este backdoor permitiu a um atacante executar a funcionalidade de costume - como a execução de comandos remotos - no entanto, o backdoor não abrir uma tomada de rede ou tentativa de conexão com um servidor de comando e controle (C & C). Em vez disso, o código backdoor foi injetado no processo de SSH para monitorar o tráfego de rede e procure a seguinte seqüência de caracteres: dois pontos, ponto de exclamação, ponto e vírgula, ponto final (":;!")..
Depois de ver esse padrão, a porta traseira iria analisar o resto do tráfego e, em seguida, extrair os comandos que foram criptografadas com Blowfish e Base64 codificado.
Symantec conclui que o malware mistério - o que ele detecta como Fokirtor - é diferente de qualquer outro backdoor Linux que seus pesquisadores de segurança já analisados.
Malware em sistemas Linux é mais um problema do lado do servidor e incidentes de worms e Trojans são executados em centenas ou milhares - de baixa, em comparação com as dezenas de milhões de patógenos do Windows e mais de um milhão de Android indesejáveis.
Mesmo assim, a Symantec afirma que Fokirtor é completamente diferente de qualquer esforço prévio de Linux malware é notável - não menos importante, porque sugere que as novas táticas pioneira pelo malware podem surgir no código de follow-up. ®
Nenhum comentário:
Postar um comentário