HiddenWasp惡意軟體借用Mirai及Winnti程式碼攻擊Linux系統

資安研究人員發現了一隻針對Linux系統的新惡意軟體。這隻稱為HiddenWasp的惡意軟體被認為是用來對已入侵系統進行第二階段的針對性目標攻擊(Targeted attack )

HiddenWasp惡意軟體借用Mirai及Winnti程式碼攻擊Linux系統

HiddenWasp跟其他感染物聯網(IoT ,Internet of Thing)裝置成為分散式阻斷服務攻擊 (DDoS) 殭屍網路(botnet)或佈署虛擬貨幣挖礦( coinmining )病毒的Linux威脅不同。根據Intezer的Ignacio Sanmillan所說,HiddenWasp被用來遠端控制已入侵系統。它具有能夠避免被偵測的Rootkit功能。

[趨勢科技研究:Erebus Linux 勒索病毒技術分析]

HiddenWasp可以部署腳本、Rootkit和木馬程式,裡面有許多程式碼或實作方式都讓人想起或借用了各種開放原始碼惡意軟體。例如,HiddenWasp的Rootkit組件可能使用、移植或修改了MiraiAzazel Rootkit專案內的一些程式碼。 Sanmillan還指出,HiddenWasp的架構跟Linux版的Winnti惡意軟體很相似。

一旦HiddenWasp成功進入已入侵系統,攻擊者就可以執行各種操作,包括:

  • 取得系統內儲存的系統與檔案資料以及列出檔案
  • 複製、上傳、下載、移動和刪除檔案
  • 執行檔案或腳本以及執行命令

[延伸閱讀:Bashlite IoT惡意軟體更新加入挖礦和後門命令,目標是WeMo裝置]

像HiddenWasp這樣會組合功能並不是新鮮事。像是在去年,趨勢科技研究人員發現一隻加入Rootkit功能來隱藏虛擬貨幣挖礦程序的門羅幣挖礦病毒。而最近,趨勢科技研究人員發現針對安裝有漏洞Confluence協作軟體的Linux系統的攻擊。那隻惡意軟體也帶有Rootkit來躲避偵測。

HiddenWasp顯示出Linux威脅的不斷演變。跟之前主要用來執行單一或特定行為(如惡意虛擬貨幣挖礦加密)的Linux威脅比較起來,今日有許多Linux威脅都會加入其他的功能組件。

[延伸閱讀:抄襲 KORKERDS 腳本,且會清除系統上所有其他惡意程式的Linux 挖礦程式]

Linux惡意軟體帶來相當大的資安風險。許多企業都使用Unix類的作業系統(如Linux)來運行大型主機、伺服器、系統管理工作站、網頁開發平台甚至是行動應用程式。企業可以透過以下建議來加強對Linux威脅的防禦:

  • 確保儲存庫經過驗證,並且停用過期或不必要的組件、擴充功能和服務
  • 執行最低權限原則
  • 修補更新系統(或採用虛擬修補技術
  • 主動監控和檢查網路是否存在異常系統修改行為或入侵活動
  • 採用多幾層的安全機制。如IP過濾可用來防止未授權IP地址連到系統(像那些被HiddenWasp用作命令和控制連線的系統)。Sanmillan還提供了用來偵測HiddenWasp的YARA規則,可以檢查系統是否已被入侵。

趨勢科技端點解決方案(如趨勢科技 Smart Protection SuitesWorry-Free Business Security )可以偵測惡意檔案和郵件以及封鎖所有相關惡意網址來保護使用者和企業抵禦此威脅。

@原文出處:HiddenWasp Malware Targets Linux Systems, Borrows Code from Mirai, Winnti