当前位置:首页 > 嵌入式 > 嵌入式动态
[导读]黑帽大会于2020年8月在线举行,会议分为8个关键主题,这些主题下有很多讲座。 今天,我将解释一个关于我们国家的会议:Linux间谍软件正在中国传播。

黑帽大会于2020年8月在线举行,会议分为8个关键主题,这些主题下有很多讲座。 今天,我将解释一个关于我们国家的会议:Linux间谍软件正在中国传播。

中国5个非法组织使用Linux间谍软件

这些组织都与Winnti供应组有联系,他们使用相同的Linux rootkit和后门组合。

Winnti :中国的间谍组织

研究人员称,一系列用于间谍活动的Linux后门恶意软件,经过动态编译并可针对特定目标进行定制,目前正被五个不同的中国APT组织用作共享资源。

APT(Advanced Persistent Threat)组织:对特定对象展开的持续有效的攻击活动的组织

根据“黑莓网”周三在2020黑帽大会发布的一份分析报告,这五个群体其实都是Winnti集团的分支。Winnti自2011年开始活跃,以高调的供应链攻击软件行业而闻名,其目的是传播木马软件(如CCleaner、华硕LiveUpdate和多个恶意视频游戏)。

“黑莓网”发现,Linux工具集被用于一系列有针对性的攻击。据该公司威胁情报主管凯文·利维利(Kevin Livelli)说,它包含六个不同的组件。在周三的会议上,他指出,这些工具从一个安装程序bash脚本开始,该脚本压缩在另一个shell脚本中,并配置在远程构建的服务器上。该构建服务器(工具集中的第二项)为特定目标定制了一个恶意软件包,如果安装程序会将其下载给受害者。

此自定义恶意软件负载由第三项和第四项组成:rootkit和后门,以及目标的安装脚本。至于rootkit,黑莓的研究人员发现了两个变种,都是为了配合相关的后门而设计的。

Livelli说:“我们看到它们是为不同的内核版本量身定做的,有最新的命令和控制(C2),我们知道旧的内核版本仍在使用中,这反映了这样一个事实:许多Linux系统管理员由于各种原因更新速度太慢。“我们发现了针对Red Hat Enterprise、CentOS和Debian的恶意软件示例,但考虑到它们的自定义特性和动态组合,我们可以肯定还有其他恶意软件存在。”

C2:command and control

Livelli说,第五项是一个攻击者控制面板,能够同时管理Windows和Linux目标,有自己的图形用户界面。最后,第六项是Linux XOR DDoS僵尸网络,它是已知最大的Linux僵尸网络,于2015年首次被注意到。

至于C2活动,Livelli说,黑莓在其调查的受攻击组织内部观察到硬编码的网络回调数据,这表明该组织在部署Linux网络之前已经在目标内部建立了基础设施。

Livelli说:“我们发现的所有Linux恶意软件很有可能不是第一阶段的恶意软件,而是一种持久性工具,这些目标的危害要深得多,而且已经建立得很好了。”“我们还看到(C2)的合法云服务提供商基础设施遭到滥用。”

除了C2基础设施和Linux网络之外,值得注意的是,其他恶意软件在观察到的系统中存在。

“攻击者几乎总是以多个平台为目标,这一次,我们发现同一组攻击者控制了一些Android恶意软件,而其他人则使用了一些Windows恶意软件。我们在整个恶意软件套件上找到了一个绝佳的有利位置,并提供了跨平台进行间谍活动的有力证据。”

Livelli说:“攻击者花了很多时间来建立这个系统,在目标中站稳脚,设计出了一种快速编译复杂恶意软件的方法,用于Linux发行版和内核版本的多种组合,然后供受害者安装。”

Linux的隐蔽性

进一步的调查还显示,Linux恶意软件集可能已经在网络中生存了近10年。Livelli说,“Linux之所以能长久存在,一个原因是,当涉及到任何组织中那些掌握网络防御资金的人时,Linux往往会躲在人们的身后。与Mac和Windows相比,Linux的产品有多深入?我敢打赌,一般来说,安全行业对无数Linux发行版和内核组合的支持与对Windows的支持相比相形见绌。这只是经济上的问题,您需要在平台背后提供工程、营销和销售工作,从而创造最大的需求。”

他补充说,”Linux运行的服务器在构成现代社会的政府机构和企业中构成了一个重要基础设施的深层平台。Linux不仅运行web服务器和数据库服务器,还运行代理服务器、文件服务器、VPN服务器、证券交易所服务器,它嵌入物联网,嵌入网络家电,嵌入汽车。我不必向听众指出,运行Linux的web服务器非常适合隐藏大量的过滤数据。“

01有话说

以前总是听说国外黑客组织怎么怎么样,直到Winnti组织出现,才明白网络安全无国界,每个国家的暗处都隐藏着非法势力。

Winnti组织开发了Linux工具集,六个组件分别是:bash脚本,远程服务器,rootkit和后门,后门的安装脚本,攻击者控制面板,Linux XOR DDoS僵尸网络。

和win,mac相比,linux的版本繁多,旧版本多年不更新,漏洞从未被弥补。且linux广泛应用于嵌入式开发,是天然的间谍平台。

其实这些间谍软件的本质都是捆绑的木马程序,只要我们保持警惕,不随意从网站下载未知文件,就不会受此影响。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭