俄羅斯殺軟廠商Dr.Web近日發(fā)現(xiàn)了Linux平臺(tái)新型木馬Linux.Ekocms.1。目前從截獲的木馬樣本來(lái)看,該木馬能夠截屏和錄制音頻文件,并發(fā)送給遠(yuǎn)程服務(wù)器。
新型木馬可以截屏作業(yè)
該新型木馬Linux.Ekocms于數(shù)日前被發(fā)現(xiàn),Linux.Ekocms目前主要威脅運(yùn)行Linux系統(tǒng)的計(jì)算機(jī)用戶(hù),在去年惡意勒索程序Linux.Encoder.1以及Linux XOR DDoS已經(jīng)造成了不少問(wèn)題。
Linux.Encoder,主要針對(duì)寄存網(wǎng)站或者代碼倉(cāng)庫(kù)的網(wǎng)頁(yè)開(kāi)發(fā)環(huán)境。一旦受害人的Linux機(jī)器里運(yùn)行Linux.Encoder.1。并執(zhí)行成功,這款木馬會(huì)在/home、/root、/var/lib/mysql這幾個(gè)目錄下進(jìn)行遍歷文件,試圖加密里面的文件內(nèi)容。如Windows下的勒索軟件一樣,它會(huì)使用AES(某對(duì)稱(chēng)密鑰加密算法)對(duì)這些文件內(nèi)容進(jìn)行加密,這期間并不會(huì)對(duì)系統(tǒng)資源占用過(guò)大。
這個(gè)AES對(duì)稱(chēng)密鑰會(huì)用RSA(某非對(duì)稱(chēng)加密算法)加密,然后用AES初始化的向量去加密文件。一旦這些文件被加密,木馬會(huì)嘗試蔓延到系統(tǒng)根目錄。它只需要跳過(guò)重要的系統(tǒng)文件,所以加密后的操作系統(tǒng)是能夠正常啟動(dòng)的。后來(lái)安全研究人員發(fā)現(xiàn)了一個(gè)漏洞,可以恢復(fù)被加密的文件,而且不需要支付贖金。通過(guò)對(duì)代碼的分析可知該勒索軟件需要獲得root級(jí)別的權(quán)限。
Linux XOR DDoS主要通過(guò)感染32位和64位的Linux系統(tǒng),通過(guò)安裝rootkit來(lái)隱藏自身,并可通過(guò)DDoS攻擊形成僵尸網(wǎng)絡(luò)。
根據(jù)Dr.Web的描述,這種新型木馬屬于間諜軟件家族的一員,同時(shí)這個(gè)木馬能在被感染電腦中進(jìn)行截屏作業(yè),每隔30秒進(jìn)行一次,然后發(fā)給遠(yuǎn)程服務(wù)器。這些截圖都先保存在兩個(gè)相同的文件夾中,但如果這些文件夾不存在,木馬會(huì)在需要的時(shí)候自己創(chuàng)建。你的Linux沒(méi)安裝殺毒軟件,可以直接到以下兩個(gè)文件夾中來(lái)確認(rèn)你是否已經(jīng)被感染該木馬:
- $HOME/$DATA/.mozilla/firefox/profiled
- $HOME/$DATA/.dropbox/DropboxCache
具體細(xì)節(jié)還未透露
截屏的圖片文件格式在默認(rèn)情況下為JPEG,文件名包含截屏?xí)r間。如果你的電腦不能保存該格式的圖片,木馬會(huì)用BPM格式保存截圖。Linux.Ekocms需要定期上傳文件,主要通過(guò)一個(gè)網(wǎng)絡(luò)代理連接c&c服務(wù)器,惡意攻擊者在木馬的代碼里硬編碼寫(xiě)上C&C服務(wù)器的IP地址,所有截圖會(huì)被加密上傳到遠(yuǎn)程服務(wù)器,因此第三方工具要想使用反向工具破譯木馬行為,也存在一定難度。
目前來(lái)看,Linux.Ekocms是一款收集信息的木馬工具,允許攻擊者獲取目標(biāo)主機(jī)的上網(wǎng)行為。但目前Dr.Web安全專(zhuān)家并沒(méi)有透露該木馬是如何實(shí)現(xiàn)感染Linux系統(tǒng)用戶(hù)的方式。