Rakos το Linux Malware Backdoor

Η εταιρεία ασφαλείας ESET ανακάλυψε μια νέα μορφή κακόβουλου λογισμικού που στοχεύει συσκευές Linux. Το κακόβουλο λογισμικό μπορεί να δώσει πλήρη έλεγχο της πληγείσας ς στους hackers, αφήνοντας μια πόρτα ανοιχτή για πάρα πολλές άλλες κακόβουλες ενέργειες, όπως τις επιθέσεις DDoS.

Το νέο ονομάστηκε Rakos, και χρησιμοποιείται για επιθέσεις σε φορητές συσκευές και που έχουν ανοιχτή τη θύρα της SSH. Αν βρει κάποια θύρα ανοιχτή στο πρωτόκολλο SSH χρησιμοποιεί επιθέσεις brute force για να σπάσει τον κωδικό πρόσβασης.Linux malware

Η ESET υποστηρίζει ότι οι δημιουργοί του Rakos θέλουν να μολύνουν όσο το δυνατόν περισσότερα συστήματα για να δημιουργήσουν δημιουργηθεί ένα που θα μπορούσαν να χρησιμοποιήσουν για άλλες κακόβουλες επιθέσεις, όπως επιθέσεις DDoS ή την εξάπλωση spam.

Αρχικά οι επιτιθέμενοι σαρώνουν για ευπάθειες τα συστήματα αναλύοντας προκαθορισμένες . Θα πρέπει να αναφέρουμε ότι κινδυνεύουν περισσότερο τα μηχανήματα που χρησιμοποιούν πολύ αδύναμους κωδικούς πρόσβασης καθώς οι επιθέσεις brute force χρειάζονται πολύ περισσότερο χρόνο σε μεγάλους κωδικούς.

  BackBox Linux 8 αξιολογήσεις & δοκιμές διείσδυσης

Μόλις αποκτήσει πρόσβαση στην Linux συσκευή του θύματος το Rakos ξεκινά μια τοπική υπηρεσία που είναι διαθέσιμη στη διεύθυνση http://127.0.0.1:61314 για δύο διαφορετικούς σκοπούς.

“Ο πρώτος είναι ένας πονηρός τρόπος για τις μελλοντικές εκδόσεις του bot για να σταματήσουν διάφορες διεργασίες ανεξάρτητα από την ονομασία τους, ζητώντας πολύ απλά την διεύθυνση http://127.0.0.1:61314/et και ο δεύτερος προσπαθεί να αναλύσει ένα ερώτημα URL με παραμέτρους “ip”, “u”, “p”, ζητώντας την διεύθυνση http://127.0.0.1:61314/ex. Ο σκοπός αυτού του /ex HTTP δεν είναι ακόμα σαφής” σύμφωνα με την ESET.

Το κακόβουλο λογισμικό σαρώνει αυτόματα το μολυσμένο σύστημα και να συλλέγει πληροφορίες που στη συνέχεια αποστέλλει σε ένα διακομιστή C&C. Στις πληροφορίες συμπεριλαμβάνονται η διεύθυνση IP, ονόματα χρηστών και κωδικοί πρόσβασης.

Ένα conf αρχείο που αποθηκεύεται τοπικά καθιστά δυνατή την πρόσβαση σε ένα για να μπορεί να έχει πρόσβαση ο εισβολέας και κάποια άλλη στιγμή στο μέλλον.

Είναι σημαντικό να τονίσουμε ότι οι σύνθετοι κωδικοί πρόσβασης της SSH είναι σχεδόν αδύνατο να σπάσουν από αυτό το malware και οι επιτιθέμενοι ψάχνουν κυρίως για συσκευές που χρησιμοποιούν αδύναμους κωδικούς πρόσβασης.

  Επιθέσεις σε Linux Servers αυξήθηκαν κατά 75% από πέρυσι

Αν για κάποιο λόγο η Linux συσκευή σας έχει μολυνθεί, θα πρέπει να συνδεθείτε χρησιμοποιώντας SSH/Telnet και να αναζητήσετε μια διαδικασία που ονομάζεται .javaxxx. Βεβαιωθείτε ότι είναι αυτή που χρησιμοποιείται για ανεπιθύμητες συνδέσεις και σταματήστε (kill) τη διαδικασία.

Διαβάστε περισσότερα στη δημοσίευση της ESET.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  69  =  79