HiddenWasp 惡意軟件針對(duì)特定的Linux設(shè)備所有者

Linux 已經(jīng)變成了如此龐大的代碼和補(bǔ)丁組合，以至于相對(duì)容易放入編寫(xiě)良好的惡意軟件。

安全研究公司Intezer報(bào)告了Linux 機(jī)器中的一個(gè)主要攻擊向量，它允許不法分子控制機(jī)器和連接到它的網(wǎng)絡(luò)。之所以如此不尋常，是因?yàn)樵摪l(fā)現(xiàn)是“在野外”。讓我解釋…

大多數(shù)像 Intezer 這樣的公司都采用一種可接受的勒索形式，他們故意尋找技術(shù)中的安全漏洞，將漏洞報(bào)告給生產(chǎn)有缺陷技術(shù)的公司，并提供有償修復(fù)。研究人員告訴潛在公司，如果他們不同意，那么他們將公布他們的發(fā)現(xiàn)。這就像同時(shí)進(jìn)行銷(xiāo)售和營(yíng)銷(xiāo)一樣。我總是被關(guān)于這些發(fā)現(xiàn)的新聞稿淹沒(méi)，并且只報(bào)道最令人震驚的。大多數(shù)時(shí)候，沒(méi)有人知道有問(wèn)題的漏洞是否已被利用。這一次，不一樣了。

“在野外”意味著安全漏洞已經(jīng)被利用，并且產(chǎn)品的用戶(hù)或生產(chǎn)者在事后可能無(wú)能為力。

我沒(méi)有確鑿的證據(jù)證明這一點(diǎn)，但我懷疑“野外”攻擊向量的數(shù)量高于未發(fā)現(xiàn)缺陷的數(shù)量。一條線索是，網(wǎng)絡(luò)安全公司對(duì)問(wèn)題規(guī)模的描述有多么廣泛。有些人可以識(shí)別不到 50 種不同類(lèi)型的攻擊，而另一些人則聲稱(chēng)可以識(shí)別超過(guò) 500 種攻擊。另一個(gè)線索是，他們對(duì)所提供的保護(hù)有多大信心，具體取決于它們降低網(wǎng)絡(luò)速度的程度。例如，一家公司可能會(huì)將額定為 10 Gb/s 的網(wǎng)絡(luò)速度降低到 5 Gb/s，并將其防護(hù)等級(jí)定為 97%，但如果速度高于該速度，那么他們報(bào)告網(wǎng)絡(luò)安全性較低，即使測(cè)試表明他們正在阻止更多潛在的攻擊。換句話說(shuō)，您的網(wǎng)絡(luò)越接近其額定速度，它就越不安全。

但我離題了。讓我們回到被 Intezer 稱(chēng)為“HiddenWasp”的 Linux 缺陷。這是一個(gè)很好的名字。攻擊向量側(cè)重于已經(jīng)受到攻擊的設(shè)備。一旦原始向量被中和，用戶(hù)就會(huì)得到一種錯(cuò)誤的解決問(wèn)題的成就感。那時(shí)可以激活 HiddenWasp 以控制設(shè)備及其所在的網(wǎng)絡(luò)。Intezer 新聞稿稱(chēng)：“與常見(jiàn)的 Linux 惡意軟件不同，HiddenWasp 并不專(zhuān)注于加密挖掘或 DDoS 活動(dòng)。它是一個(gè)純粹用于有針對(duì)性的遠(yuǎn)程控制的木馬。”

受影響的機(jī)器不僅僅是純 Linux 系統(tǒng)。任何帶有 Linux 內(nèi)核的操作系統(tǒng)都可能容易受到攻擊。要檢查您的系統(tǒng)是否被感染，請(qǐng)搜索“l(fā)d.so”文件。任何缺少字符串“ /etc /ld. 所以。preload”（為防止系統(tǒng)問(wèn)題而添加的空格）可能意味著機(jī)器受到了損害。根據(jù) Intezer 的說(shuō)法，木馬植入程序?qū)L試修補(bǔ) ld.so 的實(shí)例，以從任意位置強(qiáng)制執(zhí)行 LD_PRELOAD 機(jī)制。

有針對(duì)性的遠(yuǎn)程控制正在成為物聯(lián)網(wǎng)世界中更流行的攻擊，尤其是在 Linux 系統(tǒng)上。如果您可以控制與有權(quán)訪問(wèn)敏感信息的人關(guān)聯(lián)的設(shè)備，那么您可能會(huì)造成很大的損害。這就是為什么這種特殊的努力更有可能是一個(gè)民族國(guó)家的政府和工業(yè)間諜活動(dòng)的產(chǎn)物。由于 Intezer 在香港 Thinkdream Technology Ltd. 托管的多個(gè)網(wǎng)站上發(fā)現(xiàn)了該代碼，我們或許可以推斷出誰(shuí)是幕后黑手。（我快速瀏覽了一下，發(fā)現(xiàn)那里托管了許多 S&M ***，所以如果你被感染了，真丟臉。）

讓我們稍微關(guān)注一下為什么 Linux 機(jī)器會(huì)受到攻擊。Linux 以開(kāi)源著稱(chēng)，而“開(kāi)源”據(jù)說(shuō)更安全，因?yàn)槟梢圆榭丛创a并找到惡意代碼。但安全處理器公司 Axiado Corporation 的首席技術(shù)官兼創(chuàng)始人 Axel Kloth 表示，Linux 的成功使其更容易受到攻擊。

“Linux 已經(jīng)變成了如此龐大的代碼和補(bǔ)丁程序，以至于相對(duì)容易放入編寫(xiě)良好的惡意軟件，”他說(shuō)?！鞍踩治鰩熆梢灾苯佑^察它多年，但永遠(yuǎn)不會(huì)看到它?！?/p>

這就是人工智能現(xiàn)在和可預(yù)見(jiàn)的未來(lái)將在數(shù)字安全中發(fā)揮如此重要作用的地方。即使人工智能無(wú)法找到像 HiddenWasp 這樣的惡意軟件，它也可以釋放人類(lèi)智能來(lái)尋找異常情況。最終，人工智能將標(biāo)記可疑代碼并將其隔離以進(jìn)行評(píng)估。Kloth 說(shuō)，我們很快就會(huì)在市場(chǎng)上看到這種基于人工智能的技術(shù)，但距離全面上市還有幾年的時(shí)間。