萧箫 发自 凹非寺

量子位 | 公众号 QbitAI

继电脑和手机后,挖矿病毒也盯上了IoT设备。

无论是智能冰箱、彩电还是洗衣机,但凡有点算力的(物联网和端侧)设备都可能被这些病毒感染,用于挖掘加密货币等。

百度防恶意点击软件_linux 防恶意代码软件_防恶意点击代码软件

AT&T Alien Labs新发觉的Linux恶意软件Shikitega就是一例。

相比之前的一些IoT设备,Shikitega愈发隐蔽,总共只有376字节,其中代码占了300字节。

那么,这个新型恶意软件到底是怎么感染设备的?

利用免杀技术“隐身”

具体来说,Shikitega核心是一个很小的ELF文件(Linux系统可执行文件格式)。

linux 防恶意代码软件_防恶意点击代码软件_百度防恶意点击软件

这个ELF文件加了动态壳,以规避一些安全防护软件的查杀。

加壳,指借助特殊算法压缩可执行文件中的资源,但压缩后的文件可以独立运行,且解压过程完全隐蔽,全部在显存中完成。

动态壳则是免杀上面愈发强力的一种手段。

从整体过程来看,Shikitega会对端侧和IoT设备施行多阶段感染,控制系统并执行其他恶意活动,包括加密货币的挖掘(这里Shikitega的目标是门罗币):

防恶意点击代码软件_百度防恶意点击软件_linux 防恶意代码软件

百度防恶意点击软件_防恶意点击代码软件_linux 防恶意代码软件

通过漏洞借助框架Metasploit中最流行的编码器Shikata Ga Nai(SGN),Shikitega会运行多个解码循环,每一个循环解码下一层。

最终,Shikitega中的有效荷载(恶意软件的核心部份,如执行恶意行为的蠕虫或病毒、删除数据、发送垃圾邮件等的代码)会被完全解码并执行。

这个恶意软件借助的是CVE-2021-4034和CVE-2021-3493两个Linux漏洞,虽然目前早已有修补补丁,但若果IoT设备上的旧版Linux系统没更新,就可能被感染。

事实上,像Shikitega这样感染IoT设备的恶意软件早已很常见了。

例如在今年三月,AT&T Alien Labs同样发觉了一个用Go编撰的恶意软件BotenaGo红旗 linux,用于创建在各类设备上运行的僵尸网路(Botnets)。

对此有不少网友吐槽,IoT设备的安全性难料:

也有网友觉得,IoT设备应当搞WiFi隔离,不然还会给病毒“可乘之机”:

linux 防恶意代码软件_防恶意点击代码软件_百度防恶意点击软件

而不仅IoT设备,更多人的关注点则置于了Linux系统的安全上。

Linux恶意软件数目激增650%

这几年来,Linux恶意软件的多样性和数目都上升了。

根据AV-ATLAS团队提供的数据,新的Linux恶意软件的数目在2022年上半年达到了历史新高,发现了近170万个。

防恶意点击代码软件_linux 防恶意代码软件_百度防恶意点击软件

与去年同期(226324个恶意软件)相比,新的Linux恶意软件数目激增了近650%。

除了Shikitega,近来发觉的流行Linux恶意软件也显得愈发多样,已知的包括BPFDoor、Symbiote、Syslogk、OrBit和Lightning Framework等。

△图源AV-ATLAS

对此有网友提出疑问linux基础教程,正由于Linux开源,它虽然无论如何就会面临病毒和恶意软件的猖獗?

防恶意点击代码软件_百度防恶意点击软件_linux 防恶意代码软件

有网友回应称,一方面linux 防恶意代码软件,虽然旧的Linux系统可能饱含漏洞、成为病毒的“温床”,但它在经过升级、打了补丁以后才会变好。

另一方面,开发恶意软件本身也不是“有手才能做”的事情。

毕竟安全研究人员会不断修补并堵上所有漏洞,而恶意软件开发者必须在她们修补前找到漏洞、开发出恶意软件linux 防恶意代码软件,还得让它们“大流行”,最终实现自己的目的。

防恶意点击代码软件_linux 防恶意代码软件_百度防恶意点击软件

要是你家还有在用老旧Linux系统的设备,要注意及时升级or做好网路隔离等安全举措~

参考链接:

[1]

[2]

[3]

— 完 —

量子位 QbitAI · 头条号签约

本文原创地址:https://www.linuxprobe.com/xxfzafslzwie.html编辑:刘遄,审核员:暂无