近日卡巴斯基和賽門(mén)鐵克的安全專(zhuān)家發(fā)現(xiàn)了一個(gè)極其隱秘的Linux間諜木馬，專(zhuān)門(mén)竊取全球政府部門(mén)和重要行業(yè)的敏感數(shù)據(jù)。

[[124360]]

最新發(fā)現(xiàn)的Linux間諜木馬是卡巴斯基和賽門(mén)鐵克今年8月份發(fā)現(xiàn)的高級(jí)持續(xù)攻擊——圖蘭(Turla)的另外一塊拼圖。“圖蘭”主要攻擊目標(biāo)是全球45個(gè)國(guó)家的政府部門(mén)、使領(lǐng)館、軍隊(duì)、教育科研機(jī)構(gòu)以及醫(yī)藥公司，是當(dāng)今最頂級(jí)的APT高級(jí)持續(xù)攻擊活動(dòng)，與最近發(fā)現(xiàn)的Regin處于同一級(jí)別，與近年來(lái)發(fā)現(xiàn)的國(guó)家級(jí)惡意軟件如Flame、Stuxnet和Duqu很像，技術(shù)上高度復(fù)雜。

據(jù)卡巴斯基實(shí)驗(yàn)室透露此前安全界僅發(fā)現(xiàn)基于Windows系統(tǒng)的“圖蘭”間諜木馬。而且由于“圖蘭”采用了Rootkit技術(shù)，極難被發(fā)現(xiàn)。

Linux間諜木馬的曝光表明“圖蘭”的攻擊面還覆蓋了Linux系統(tǒng)，與Windows版木馬類(lèi)似，Linux版“圖蘭”木馬高度隱秘，使用常規(guī)方法(例如Netstat命令)根本無(wú)法察覺(jué)，該木馬進(jìn)入系統(tǒng)后會(huì)隱藏并保持靜默潛伏，有時(shí)甚至?xí)谀繕?biāo)的電腦中潛伏長(zhǎng)達(dá)數(shù)年之久，直到攻擊者發(fā)送包含特定序列數(shù)字的IP包時(shí)才會(huì)被激活。

激活后Linux版圖蘭木馬可以執(zhí)行任意命令，甚至無(wú)需提升系統(tǒng)權(quán)限，任何一個(gè)普通權(quán)限用戶(hù)都能啟動(dòng)它進(jìn)行監(jiān)控。

目前安全界對(duì)Linux版圖蘭木馬及其潛在功能的了解還非常有限，已知信息包括該木馬由C和C++語(yǔ)言開(kāi)發(fā)，包含了必要的代碼庫(kù)，能夠獨(dú)立運(yùn)行。圖蘭木馬的的代碼去除了符號(hào)信息，這使得研究者很難對(duì)其進(jìn)行逆向工程和深入研究。

安全牛建議重要部門(mén)和企業(yè)的Linux系統(tǒng)管理員盡快自查是否感染了Linux版圖蘭木馬，方法很簡(jiǎn)單：檢查出站流量中是否包含以下鏈接或地址：news-bbc.podzone[.]org or 80.248.65.183，這是目前已經(jīng)發(fā)現(xiàn)的Linux版圖蘭木馬硬編碼的命令控制服務(wù)器地址。系統(tǒng)管理員還可以使用開(kāi)源惡意軟件研究工具YARA生成證書(shū)，并檢測(cè)其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”兩個(gè)字符串。