信息安全

图兰木马登陆 Linux

“图兰”(Turla)一种难以辨别的木马已经困扰 Windows 系统多年,现如今至少有两个 Linux 下的变种,卡巴斯基实验室研究人员说 Linux Turla 通过运行远程命令进行攻击,并不需要提升系统权限就可以执行任意指令,因此一直以来都保持着潜伏状态。使用常规工具(例如Netstat命令)根本无法察觉该恶意软件。

据卡巴斯基和赛门铁克信息安全公司揭露 几年来 Turla 的攻击目标为政府机构、大使馆、军事组织、研究和教育组织以及制药企业的 Windows 系统,目前已知超过45个国家的上百个IP成为受害者,如今 Linux 系统下已经发现至少两个变种。

第一种 Linux Turla 变种程序由C 语言和 C++ 语言编写,由于连接了多个库,所以它的文件体积明显增大。攻击者除去了带有符号信息的代码,这大大增加了安全专家分析该程序的难度。和其他 Turla 变种一样,Linux Turla也可以隐藏网络通信,任意执行远程命令和远程控制受害者机器。

Linux Turla大量使用了开源的静态链接库,包括 glibc 2.3.2、OpenSSL v0.9.6 和 libpcap。Linux Turla并不需要使用root 权限即可以执行攻击命令,同时难以被发现,不会被 Linux 上管理工具(命令)netstat 探测到。也就是说,即使用户在启动该程序时限制了系统权限,Linux Turla仍然可以继续截断数据包和执行恶意操作。

卡巴斯基并没有提供更多关于第二种变种的资料。科技咨询公司Enderle Group 的首席分析师 Rob Enderle 说:图兰木马起源于俄罗斯,这种 Linux 恶意软件可以潜伏多年而不被发现,其幕后攻击者可能有国家支持。不得不说该恶意软件十分优雅,但又极难被人发现。之前人们对 Linux 下的恶意软件并没有花费太多心思,这一事件告诉我们:没有人是安全的。

对这篇文章感觉如何?

太棒了
0
不错
0
爱死了
0
不太好
0
感觉很糟
0

You may also like

Leave a reply

您的邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

More in:信息安全

信息安全

深度解析shellcode原理及编码技术

本篇文章深度探讨了Shellcode的原理,同时对64位和32位系统下的shellcode进行了详细解读。并详细介绍了Shellcode的编码技术,其中包括手写Shellcode的两种思路。对于编码Shellcode,本文列举了几种常见的解码器的实现,如FNSTENV XOR解码器和JMP/CALL解码器。最后,本文列举了几种常见的字符集以及Shellcode编码工具,并推荐了两个可查找现成Shellcode的数据库。
信息安全

安卓逆向:去广告和弹窗

安卓应用中常见有三种广告:启动广告、弹窗广告以及横幅广告。启动广告一般是单独的一个 Activity,对于这种广告可以通过 Activity 切换定位来加以去除。弹窗广告一般是在 Activity 方法中通过 Dialog->show() 方法调用的,这种广告可以通过 Hook、定位并修改代码方法去除。横幅广告是出现在 UI 布局中的广告,在 xml 中定位到之后可以通过修改宽高和可见性的方法去除。
信息安全

安全能力交换协同应对DDoS

安全形势的急剧恶化也催生出了海量的安全需求,大量安全厂商及网络运营商都投身到这场全球性的安全对抗战役中,但是随着网络攻击在规模、复杂性及量级方面的不断扩大,越来越多的网络安全厂商及运营商感觉到“力不从心”,大家都意识到应对现今的网络攻击已不是一家公司或单一组织可以解决的。协作,必将成为未来网络安全领域最重要的发展方向。