Linuxos támadásokra született a RedXOR trójai
Egy újabb, hátsó kapu létesítésére alkalmas kártékony program jelent meg, amely kifejezetten a Linux alapú rendszereken képes károkozásra.Az Intezer biztonsági cég szerint 2020-ban több mint 40 százalékkal nőtt a Linux kompatibilis kártékony programok száma. Egyelőre semmiféle jel nem utal arra, hogy ez a tendencia megfordulna, ezért a vállalat arra hívta fel a figyelmet, hogy a Linux esetében is mind nagyobb odafigyelésre van szükség a vírusvédelem terén. Noha a linuxos károkozók száma jóval alatta marad a Windows-os társaikéhoz képest, azért egy-egy cég életében egy későn detektált ártalmas program komoly következményekkel járhat. Erre szolgáltat példát az a RedXOR nevű kártevő is, amelyet az Intezer szakemberei nemrég fedeztek fel.
Szerencsére a kártékony program jelenleg még nem terjed széles körben. A VirusTotal adatai szerint eddig elsősorban Tajvanból és Indonéziából jelentettek RedXOR-fertőzéseket. Sajnos azonban nem zárható ki, hogy a szerzemény máshol is jelen van, mivel a detektálása nem éppen egyszerű feladat, különösen akkor nem, ha a linuxos gépeken nincs megfelelően frissített vírusvédelem. A kockázatokat pedig tovább fokozza, hogy a RedXOR eddig célzott, APT-típusú támadásokban jutott szerephez. Az Intezer szerint nagy a valószínűsége annak, hogy a kínai Winnti hackercsoport áll a háttérben. Márpedig a Winnti-ről már számtalanszor bebizonyosodott, hogy nem kispályás eszközökkel dolgozik.
Hogyan működik a RedXOR?
Az eddigi vizsgálatok szerint a RedXOR a kiszemelt rendszereken egy rejtett, ".po1kitd.thumb" nevű mappát hoz létre, amelybe bemásolja a saját állományait, többek között egy ".po1kitd-2a4D53” nevű fájlt is. Eközben az Adore-ng, nyílt forráskódú rootkit segítségével gondoskodik arról, hogy a jelenlétét, a fájljait és a folyamatait minél jobban leplezze. A károkozó állománya kódolt módon tartalmazza a vezérlőszerverével való kapcsolatkiépítéshez szükséges adatokat (IP-cím, jelszó stb.). Vagyis a készítői "beégették" a forráskódba ezeket az információkat. Azonban fontos megjegyezni, hogy a kártevőt rendszeresen tudják frissíteni a vírusterjesztők, így ezeket az adatokat is módosíthatják.
A RedXOR a rendszer újraindítása után is életképes marad. Erre utalnak az alábbiak:
/usr/syno/etc/rc.d/S99po1kitd-update.sh
/etc/init.d/po1kitd-update
/etc/rc2.d/S99po1kitd-update
A RedXOR az általa létrehozott hátsó kapun keresztül számos művelet elvégzésére utasítható. Így például a következőkre is:
- rendszerinformációk lekérdezése
- felhasználói fiókok felkutatása
- távoli parancssor elérhetővé tétele
- proxy funkciók aktiválása
- fájlműveletek végrehajtása
- fájlok megnyitása
- fájlok feltöltése (adatszivárogtatás)
A vezérlőszerverével folyatott adatcsere során teljesen szokványos, HTTP-alapú kommunikációt használ, de a kiszolgáló csak akkor "szólítható meg", ha egy jelszó is elküldésre kerül a károkozó által.
Az Intezer szerint egy RedXOR fertőzést követően az érintett rendszereket nagyon alaposan át kell vizsgálni, annak érdekében hogy a károkozó összetevői, illetve a kártevő révén a számítógépre felkerült nemkívánatos fájlok mindegyikének eltávolítására sor kerüljön.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.