隐蔽Linux恶意木马被发现 已被用作攻击手段多年
2014-12-09 15:34
525 查看
信息安全研究者近日发现了一种隐藏于Linux系统多年的极度隐蔽的木马程序,并显示其与Turla网络间谍攻击相关,已经被用来作为相关的网络攻击手段多 年。八月,卡巴斯基和赛门铁克信息安全公司揭露了Turla网络间谍攻击的真面目,是一个多阶段的攻击行动,目标为政府机构、大使馆、军事组织、研究和教 育组织以及制药企业,已知超过45个国家的上百个IP成为受害者。第一阶段的攻击使用了诸多零日漏洞进行攻击,第二阶段则部署后门进行攻击。 Turla 有着宽泛的攻击范围和复杂的攻击手段,全球化的高级攻击或将成为常态。
就如同Turla网络攻击行为的Windows攻击手段,Linux版本的木马程序也极为隐蔽。无法被一般的Netstat命令侦测到,能够借助外壳隐藏于被感染者电脑长时间。攻击者可以将包含独特序列号并精心包装的文件包发送给其他人。据卡巴斯基实验室研究人员怀疑,这种木马能够在无需提升系统权限的情况下执行任意指令。启动后,能够在不被侦测到的情况下拦截网络数据,运行各种命令。让攻击者通过远程软件实现监控和攻击。
Linux管理员目前能够通过检查上行数据是否包含连接newsbbc.podzone.org或80.248.65.183的部分来判断有无受该木马感染,也可以使用称为YARA的工具判断,检测是否包含字符串“TREX_PID=%u”和“Remote VS is empty !”,研究人员正在开发查杀该木马的方法。
就如同Turla网络攻击行为的Windows攻击手段,Linux版本的木马程序也极为隐蔽。无法被一般的Netstat命令侦测到,能够借助外壳隐藏于被感染者电脑长时间。攻击者可以将包含独特序列号并精心包装的文件包发送给其他人。据卡巴斯基实验室研究人员怀疑,这种木马能够在无需提升系统权限的情况下执行任意指令。启动后,能够在不被侦测到的情况下拦截网络数据,运行各种命令。让攻击者通过远程软件实现监控和攻击。
Linux管理员目前能够通过检查上行数据是否包含连接newsbbc.podzone.org或80.248.65.183的部分来判断有无受该木马感染,也可以使用称为YARA的工具判断,检测是否包含字符串“TREX_PID=%u”和“Remote VS is empty !”,研究人员正在开发查杀该木马的方法。
相关文章推荐
- 隐蔽Linux恶意木马被发现 已被用作攻击手段多年
- 木马常用攻击手段-修改系统文件
- Linux开发人员92%没有遭受过恶意代码攻击
- 一个月内发现的第六起 Linux DDoS 木马
- 关于:安全研究人员发现新木马 可以隐蔽ICMP协议传数据
- 恶意软件套餐:Cryptor攻击和信息窃取木马
- 孟加拉央行SWIFT攻击事件恶意木马分析(转)
- 国家计算机病毒中心发现篡改IE的恶意木马
- 《那些对传智播客的恶意攻击》第二篇:造谣手段步步惊心
- linux有效防御PHP木马攻击的技巧
- 一个月内发现的第六起 Linux DDoS 木马
- Linux "HoT"银行木马:失败的恶意软件
- 用Linux防火墙伪装抵挡黑客恶意攻击
- linux木马发现和处理
- EvilAbigail - 自动化Linux的恶意攻击
- 日本政府发现一个隐藏了两年之久的木马攻击
- linux下面PHP木马攻击的安全防御
- Android发现恶意软件被植入木马
- linux下面PHP木马攻击的安全防御
- LINUX web服务器首次被攻击(PHP木马怎么被挂进来的)解决思路