惡意程式HiddenWasp現蹤

資安公司Intezer於5/29在官方部落格發布,該公司發現一支專門感染Linux平台,名為HiddenWasp的惡意程式,駭客利用該惡意程式能遠端控制受感染系統。HiddenWasp疑似是中國駭客編寫,由使用者模式Rootkit、木馬及初始部署腳本組合而成。HiddenWasp可操作本機檔案系統,上傳、下載並執行檔案,執行終端命令等動作。HiddenWasp與其他常見Linux惡意程式不同之處,在於它並非將電腦變成挖礦機開採加密貨幣,或是用以進行DDoS攻擊,而是單純用於遠端控制。

HiddenWasp組成複雜,作者從各種開源惡意程式如Mirai與Azazel rootkit等專案借用大量程式碼,且與其他中國製惡意程式存在一些相似處,特別是與近期資安公司Chronicle所發現Winnti惡意程式的Linux變種類似,而該程式是中國駭客的著名工具之一。

HiddenWasp的植入載體(Implant)被託管在ThinkDream ISP業者位於香港的伺服器。研究人員表示,HiddenWasp是某個攻擊行動的第二階段工具,用來植入並控制已被入侵的系統,目前尚無法得知駭客散布HiddenWasp方法。不過有證據顯示已有受害者被HiddenWasp控制,且用來進行大規模偵查活動。目前HiddenWasp正處於活躍狀態,而且所有主要防毒軟體都無法偵測到。HiddenWasp是用於針對性攻擊的惡意程式,但無法肯定其是否屬於某個國家資助的攻擊計畫,但可以確定HiddenWasp的目的,不是執行快速獲取利潤的行動,而是用於長期潛伏控制受害系統。

研究人員提供一個快速檢查系統是否遭到感染的方法,就是搜尋系統中ld.so系列檔案,當相關檔案中均不存在任何包含/etc/ld.so.preload的字串,則系統可能受到感染。因為HiddenWasp的植入載體會對ld.so相關檔案進行更動,以便駭客能從任意位置執行ld.so檔案內的LD_PRELOAD機制。至於防止Linux系統受到HiddenWasp攻擊方式,可先封鎖Intezer提供的C&C IP位置;Intezer也提供惡意軟體識別工具YARA偵測規則,可讓系統檢測在記憶體中執行的程序是否包含HiddenWasp植入載體。

發表留言