HiddenWasp-Malware für Linux-Systeme weist keine Erkennungsraten auf

Im Laufe der Jahre waren Linux-Systeme auf verbreitete Malware ausgerichtet, die für die Ausführung von verteiltem Denial-of-Service oder DDos und Crypto-Mining ausgelegt war. Intezer hat eine Malware namens HiddenWasp entdeckt, die sich von der zuvor entdeckten Malware unterscheidet. Diese Malware wird ausschließlich für die gezielte Fernsteuerung verwendet. In allen wichtigen Antivirensystemen ist die Erkennungsrate gleich Null.

In einem Bericht von Igoncio Sanmillan setzt HiddenWasp eine fortschrittliche Technik ein, um die auf Trojanern basierende Nutzlast zu nutzen. Es scheint, dass der größte Teil seines Codes auf dem kürzlich entdeckten Linux-Malware-Stamm Winniti basiert, einem von chinesischen Hackern entwickelten Hacking-Tool.

Intezer hebt mehrere Ähnlichkeiten bei der Malware “two-hiddenWrap” und “Winniti” hervor. Demnach teilen beide gemeinsame Umgebungsvariablen mit den im Rootkit Azazei verwendeten. Weiter heißt es:

„Zusätzlich sehen wir auch eine hohe Rate von geteilten Zeichenfolgen mit anderer bekannter ChinaZ-Malware, was die Möglichkeit verstärkt, dass Akteure hinter HiddenWasp eine MD5-Implementierung von [der] Elknot [Malware] integriert und modifiziert haben, die bei chinesischem Hacking hätte geteilt werden können Foren ”

HiddenWasp teilt auch den Code, der für die Mirai loT-Malware verwendet wird. Für die Hacker ist es nicht so einfach, den Code von anderen Malware-Stämmen zu kopieren und einzufügen. Den Forschern ist es jedoch gelungen, einen interessanten Hinweis darauf zu finden, dass China dieses HiddenWasp betreibt. Forscher sagten:

„Wir haben festgestellt, dass [die HiddenWasp] -Dateien über einen Pfad, der den Namen eines in China ansässigen Forensikunternehmens namens Shen Zhou Wang Yun Informationstechnologie GmbH enthält, auf VirusTotal hochgeladen wurden. Außerdem scheinen die Malware-Implantate auf Servern gehostet zu sein von einem in Hongkong ansässigen physischen Server-Hosting-Unternehmen namens ThinkDream. “

HiddenWasp ist neu und noch nicht viel bekannt. Der Vektor ist ebenfalls bekannt, es kann jedoch vermutet werden, dass er an bereits gefährdete Maschinen verteilt wird. In diesem Fall ist HiddenWasp wahrscheinlich das zweite Programm, das nach anderen Tools heruntergeladen wird. Dieses HiddenWasp interagiert dann mit dem lokalen Dateisystem und kann Dateien hochladen, herunterladen und ausführen. Das gefährlichste Merkmal dieser Bedrohung ist, dass sie auf dem angegriffenen Computer unentdeckt bleiben kann. Dies führte die Forscher zu folgendem Schluss:

„Linux-Malware kann neue Herausforderungen für die Sicherheitsgemeinschaft mit sich bringen, die wir auf anderen Plattformen noch nicht gesehen haben. Die Tatsache, dass es dieser Malware gelingt, im Visier zu bleiben, sollte die Sicherheitsbranche dazu bringen, größere Anstrengungen oder Ressourcen für die Erkennung dieser Bedrohungen aufzuwenden. “

Winniti

HiddenWasp hat einige Gemeinsamkeiten mit Winniti. Letzteres der Linux-Version wird von Chronicle entdeckt. Sowohl die Linux- als auch die Windows-Bedrohung haben viel zu viel gemeinsam. Laut Forschern handhabte die Linux-Version Winniti die ausgehende Kommunikation mit ihrem Befehls- und Steuerungsserver fast genauso wie diese der Window-Variante. Die Server verwenden die Mischung von Protokollen wie bei der Windows-Variante. Das einzige Unterscheidungsmerkmal von Linux ist die Fähigkeit chinesischer Hacker, Verbindungen zu infizierten Hosts herzustellen, ohne dass C & C-Server darauf zugreifen müssen.

Daraus schließen Forscher, die HiddenWrap investieren, Folgendes:

„Die Bedrohungsakteure, die dieses Toolset verwenden, haben wiederholt gezeigt, dass sie mit der Gefährdung von Windows-basierten Umgebungen vertraut sind. Eine Erweiterung auf Linux-Tools weist auf eine Iteration außerhalb ihrer traditionellen Komfortzone hin. Dies kann auf die Betriebssystemanforderungen der vorgesehenen Ziele hinweisen, es kann jedoch auch ein Versuch sein, die Vorteile eines Sicherheits-Telemetrie-Blindspots in vielen Unternehmen zu nutzen, wie dies bei der Linux XAgent-Variante von Penguin Turla und APT28 der Fall ist. “

Linux-Malware kann neue Herausforderungen für die Sicherheitsgemeinschaft mit sich bringen und wird immer komplexer. Derzeit weisen selbst die gängigen Bedrohungen keine hohe Erkennungsrate auf. Was ist mit solch hoher, komplexer und ausgefeilter Malware? Es wären wahrscheinlich die wenigen Erkennungs- oder Null-Erkennungsraten.