ព័ត៌មាន

មេរោគ Malware ដែលចាប់មិនបានវាយប្រហារទៅលើប្រព័័ន្ធប្រតិបត្តិការ Linux

មេរោគ malware លីនុចដ៏ទំនើបមួយដែលមានឈ្មោះថា HiddenWasp ត្រូវប្រើនៅក្នុងការវាយ ប្រហារប្រឆាំងនឹងជនរងគ្រោះរួចហើយ។ មេរោគនេះគឺមានភាពស្មុគស្មាញ និងអាចរកឃើញ មេរោគគឺនៅតែសកម្ម និងរកមិនឃើញ។ មេរោគយកលេខកូដដ៏ធំសម្បើមពីមេរោគដែលមានជា សាធារណៈដូចជា Mirai និង Azazel rootkit។ មិនដូចមេរោគនៅលើ Window ទេ អ្នកសរសេរមេរោគ របស់លីនុចនឹងមិនប្រមូលផ្ដុំច្រើនដោយប្រើវិធីសាស្រ្តគេចវេសទេ ពីព្រោះនិន្នាការនៃការប្រើដំណោះ ស្រាយប្រឆាំងមេរោគនៅក្នុងម៉ាស៊ីនលីនុចគឺតិចណាស់បើប្រៀបធៀបទៅនឹងប្រព័ន្ធផ្សេងទៀត។

ទោះ ជាយ៉ាងណាក៏ដោយរបាយការណ៍ Intezer បង្ហាញថា “មេរោគជាមួយបច្ចេកទេសការគេចវេសដ៏ពូកែ មាននៅលើវេទិកាលីនុច។ វាក៏មានសមាមាត្រខ្ពស់នៃ malware ប្រភពបើកចំហសាធារណៈដែលប្រើ ប្រាស់បច្ចេកទេសការគេចវេសយ៉ាងរឹងមាំ និងអាចត្រូវសម្របសម្រួលដោយអ្នកវាយប្រហារយ៉ាង ងាយស្រួល។ “កាលពីមុនយើងឃើញមេរោគជាច្រើនផ្តោតលើសកម្មភាព crypto-mining ឬ DDoS ប៉ុន្តែ HiddenWasp គឺវាយប្រហារពីចម្ងាយសុទ្ធសាធ។

មេរោគនេះត្រូវបង្កើតដោយ rootkit របៀបអ្នកប្រើមេរោគ Trojan មួយ និងស្គ្រីបដាក់ពង្រាយដំបូង ។ ក្រុមអ្នកស្រាវជ្រាវរកឃើញថាឯកសារទាំងនោះមិនត្រូវគេរកឃើញនៅក្នុងមេរោគ VirusTotal និងមេរោគដែលរៀបចំក្នុងម៉ាស៊ីនបម្រើរបស់ក្រុមហ៊ុនបង្ហោះគេហទំព័រ ThinkDream ដែល មានទីតាំងនៅហុងកុងទេ។ ខណៈពេលកំពុងវិភាគស្គ្រីប Intezer រកឃើញអ្នកប្រើដែលមាន ឈ្មោះ &#039sftp&#039 និង hardcodes ដែលអាចត្រូវប្រើសម្រាប់ការសម្របសម្រួលដំបូង ហើយស្គ្រីបមាន អថេរដើម្បីជម្រះកំណែចាស់ពីប្រព័ន្ធសម្របសម្រួល។ 

ស្គ្រីបក៏រួមបញ្ចូលអថេរដើម្បីកំណត់ស្ថាបត្យ កម្មម៉ាស៊ីនមេនៃប្រព័ន្ធសម្របសម្រួល និងទាញយកសមាសភាគពីម៉ាស៊ីនបម្រើដែលមានព្យាបាទ ដោយផ្អែកលើស្ថាបត្យកម្ម ដែលសម្របសម្រួលម៉ាស៊ីនបម្រើ។ ពេលដែលដំឡើងសមាសភាគ កុំព្យូទ័រ Trojan នឹងត្រូវប្រតិបត្តិនៅលើប្រព័ន្ធ។ “នៅក្នុងស្គ្រីបនេះយើងអាចសង្កេតឃើញថាការ ទាញយកនៅក្នុងទំរង់ tarball។ ដូចដែលរៀបរាប់ពីមុននោះ tarball នីមួយៗមានផ្ទុកមេរោគ Trojan មេ rootkit និងស្គ្រីបដាក់ពង្រាយសម្រាប់ x86 និង x86_64″។

image

image