信息安全

圖蘭木馬登陸 Linux

「圖蘭」(Turla)一種難以辨別的木馬已經困擾 Windows 系統多年,現如今至少有兩個 Linux 下的變種,卡巴斯基實驗室研究人員說 Linux Turla 通過運行遠程命令進行攻擊,並不需要提升系統許可權就可以執行任意指令,因此一直以來都保持著潛伏狀態。使用常規工具(例如Netstat命令)根本無法察覺該惡意軟體。

據卡巴斯基和賽門鐵克信息安全公司揭露 幾年來 Turla 的攻擊目標為政府機構、大使館、軍事組織、研究和教育組織以及製藥企業的 Windows 系統,目前已知超過45個國家的上百個IP成為受害者,如今 Linux 系統下已經發現至少兩個變種。

第一種 Linux Turla 變種程序由C 語言和 C++ 語言編寫,由於連接了多個庫,所以它的文件體積明顯增大。攻擊者除去了帶有符號信息的代碼,這大大增加了安全專家分析該程序的難度。和其他 Turla 變種一樣,Linux Turla也可以隱藏網路通信,任意執行遠程命令和遠程控制受害者機器。

Linux Turla大量使用了開源的靜態鏈接庫,包括 glibc 2.3.2、OpenSSL v0.9.6 和 libpcap。Linux Turla並不需要使用root 許可權即可以執行攻擊命令,同時難以被發現,不會被 Linux 上管理工具(命令)netstat 探測到。也就是說,即使用戶在啟動該程序時限制了系統許可權,Linux Turla仍然可以繼續截斷數據包和執行惡意操作。

卡巴斯基並沒有提供更多關於第二種變種的資料。科技諮詢公司Enderle Group 的首席分析師 Rob Enderle 說:圖蘭木馬起源於俄羅斯,這種 Linux 惡意軟體可以潛伏多年而不被發現,其幕後攻擊者可能有國家支持。不得不說該惡意軟體十分優雅,但又極難被人發現。之前人們對 Linux 下的惡意軟體並沒有花費太多心思,這一事件告訴我們:沒有人是安全的。

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0

You may also like

Leave a reply

您的郵箱地址不會被公開。 必填項已用 * 標註

此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

More in:信息安全

信息安全

深度解析shellcode原理及編碼技術

本篇文章深度探討了Shellcode的原理,同時對64位和32位系統下的shellcode進行了詳細解讀。並詳細介紹了Shellcode的編碼技術,其中包括手寫Shellcode的兩種思路。對於編碼Shellcode,本文列舉了幾種常見的解碼器的實現,如FNSTENV XOR解碼器和JMP/CALL解碼器。最後,本文列舉了幾種常見的字符集以及Shellcode編碼工具,並推薦了兩個可查找現成Shellcode的資料庫。
信息安全

安卓逆向:去廣告和彈窗

安卓應用中常見有三種廣告:啟動廣告、彈窗廣告以及橫幅廣告。啟動廣告一般是單獨的一個 Activity,對於這種廣告可以通過 Activity 切換定位來加以去除。彈窗廣告一般是在 Activity 方法中通過 Dialog->show() 方法調用的,這種廣告可以通過 Hook、定位並修改代碼方法去除。橫幅廣告是出現在 UI 布局中的廣告,在 xml 中定位到之後可以通過修改寬高和可見性的方法去除。
信息安全

安全能力交換協同應對DDoS

安全形勢的急劇惡化也催生出了海量的安全需求,大量安全廠商及網路運營商都投身到這場全球性的安全對抗戰役中,但是隨著網路攻擊在規模、複雜性及量級方面的不斷擴大,越來越多的網路安全廠商及運營商感覺到「力不從心」,大家都意識到應對現今的網路攻擊已不是一家公司或單一組織可以解決的。協作,必將成為未來網路安全領域最重要的發展方向。