安全专家发现Linux版“图兰”木马

安全
近日卡巴斯基和赛门铁克的安全专家发现了一个极其隐秘的Linux间谍木马,专门窃取全球政府部门和重要行业的敏感数据。

近日卡巴斯基和赛门铁克的安全专家发现了一个极其隐秘的Linux间谍木马,专门窃取全球政府部门和重要行业的敏感数据。

[[124360]]

最新发现的Linux间谍木马是卡巴斯基和赛门铁克今年8月份发现的高级持续攻击——图兰(Turla)的另外一块拼图。“图兰”主要攻击目标是全球45个国家的政府部门、使领馆、军队、教育科研机构以及医药公司,是当今最顶级的APT高级持续攻击活动,与最近发现的Regin处于同一级别,与近年来发现的国家级恶意软件如Flame、Stuxnet和Duqu很像,技术上高度复杂。

据卡巴斯基实验室透露此前安全界仅发现基于Windows系统的“图兰”间谍木马。而且由于“图兰”采用了Rootkit技术,极难被发现。

Linux间谍木马的曝光表明“图兰”的攻击面还覆盖了Linux系统,与Windows版木马类似,Linux版“图兰”木马高度隐秘,使用常规方法(例如Netstat命令)根本无法察觉,该木马进入系统后会隐藏并保持静默潜伏,有时甚至会在目标的电脑中潜伏长达数年之久,直到攻击者发送包含特定序列数字的IP包时才会被激活。

激活后Linux版图兰木马可以执行任意命令,甚至无需提升系统权限,任何一个普通权限用户都能启动它进行监控。

目前安全界对Linux版图兰木马及其潜在功能的了解还非常有限,已知信息包括该木马由C和C++语言开发,包含了必要的代码库,能够独立运行。图兰木马的的代码去除了符号信息,这使得研究者很难对其进行逆向工程和深入研究。

安全牛建议重要部门和企业的Linux系统管理员尽快自查是否感染了Linux版图兰木马,方法很简单:检查出站流量中是否包含以下链接或地址:news-bbc.podzone[.]org or 80.248.65.183,这是目前已经发现的Linux版图兰木马硬编码的命令控制服务器地址。系统管理员还可以使用开源恶意软件研究工具YARA生成证书,并检测其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”两个字符串。

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2010-05-06 20:45:37

2014-12-15 09:23:36

2012-01-18 10:45:42

2021-11-08 16:22:23

网络钓鱼木马网络攻击

2009-11-06 13:34:53

2013-05-20 10:20:02

2009-11-06 10:21:52

赛门铁克手机木马安全

2013-11-15 15:08:00

2013-07-03 09:48:24

2009-10-29 18:28:50

伪装木马清除木马病毒

2011-07-27 09:25:43

2015-08-06 16:45:19

2015-11-09 10:51:50

2010-09-03 10:50:24

2020-09-03 14:07:35

网络攻击黑客图兰军

2019-01-21 09:17:11

2009-06-27 16:15:06

2011-09-29 15:07:25

2010-09-09 19:53:50

2013-03-28 10:34:29

点赞
收藏

51CTO技术栈公众号