您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

惡意程式HiddenWasp現蹤

資安公司Intezer於5/29在官方部落格發布,該公司發現一支專門感染Linux平台,名為HiddenWasp的惡意程式,駭客利用該惡意程式能遠端控制受感染系統。HiddenWasp疑似是中國駭客編寫,由使用者模式Rootkit、木馬及初始部署腳本組合而成。HiddenWasp可操作本機檔案系統,上傳、下載並執行檔案,執行終端命令等動作。HiddenWasp與其他常見Linux惡意程式不同之處,在於它並非將電腦變成挖礦機開採加密貨幣,或是用以進行DDoS攻擊,而是單純用於遠端控制。

HiddenWasp組成複雜,作者從各種開源惡意程式如Mirai與Azazel rootkit等專案借用大量程式碼,且與其他中國製惡意程式存在一些相似處,特別是與近期資安公司Chronicle所發現Winnti惡意程式的Linux變種類似,而該程式是中國駭客的著名工具之一。

HiddenWasp的植入載體(Implant)被託管在ThinkDream ISP業者位於香港的伺服器。研究人員表示,HiddenWasp是某個攻擊行動的第二階段工具,用來植入並控制已被入侵的系統,目前尚無法得知駭客散布HiddenWasp方法。不過有證據顯示已有受害者被HiddenWasp控制,且用來進行大規模偵查活動。目前HiddenWasp正處於活躍狀態,而且所有主要防毒軟體都無法偵測到。HiddenWasp是用於針對性攻擊的惡意程式,但無法肯定其是否屬於某個國家資助的攻擊計畫,但可以確定HiddenWasp的目的,不是執行快速獲取利潤的行動,而是用於長期潛伏控制受害系統。

研究人員提供一個快速檢查系統是否遭到感染的方法,就是搜尋系統中ld.so系列檔案,當相關檔案中均不存在任何包含/etc/ld.so.preload的字串,則系統可能受到感染。因為HiddenWasp的植入載體會對ld.so相關檔案進行更動,以便駭客能從任意位置執行ld.so檔案內的LD_PRELOAD機制。至於防止Linux系統受到HiddenWasp攻擊方式,可先封鎖Intezer提供的C&C IP位置;Intezer也提供惡意軟體識別工具YARA偵測規則,可讓系統檢測在記憶體中執行的程序是否包含HiddenWasp植入載體。

Reference

資料來源:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
https://arstechnica.com/information-technology/2019/05/advanced-linux-backdoor-found-in-the-wild-escaped-av-detection/
https://www.ithome.com.tw/news/131017
技術服務中心整理

Publish Date
2019/6/12 0:00:00