HiddenWasp attacca Linux: grave backdoor scoperta dà pieno controllo dei sistemi

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...emi_82649.html

Una società di sicurezza informatica ha scoperto una nuova backdoor su sistemi Linux non rilevata da 59 sistemi antivirus. Secondo gli esperti dell'azienda urge aumentare gli sforzi nella sicurezza del sistema operativo

Click sul link per visualizzare la notizia.

[LukeIlBello]

quanto ci scommetto che è systemd a favorire l'infezione.. nascondendo tutto il processo di init all'utonto che non controlla più cosa ci sta dentro /etc/init.d

[LukeIlBello]

edit

[Sandro kensan]

«To finalize, the script attempts to install reboot persistence for the trojan binary by adding it to /etc/rc.local.»

Io sul mio sistema non ho rc.local. Se prova a installarsi da me fallisce miseramente.

[inited]

La "firma"? La ditta, vorrete dire.

[phmk]

Per chi ci crede ancora 😁🤣😂

[marcram]

Quote:

Originariamente inviato da phmk

Per chi ci crede ancora 😁🤣😂

E chi ci crede? Falso mito.
Più sicuro, sì.
Inattaccabile, no. Niente lo è.

[aald213]

Quote:

Originariamente inviato da LukeIlBello

quanto ci scommetto che è systemd a favorire l'infezione..

HiddenWasp è il tipico caso di sensazionalismo mediatico.

Estratti delle informazioni date dagli analisti:

Quote:

"Unfortunately, I don't know what is the initial infection vector," Sanmillan told us. "Based on our research, it seems most likely that this malware was used in compromised systems already controlled by the attacker."

Hackers appear to compromise Linux systems using other methods, and then deploy HiddenWasp as a second-stage payload, which they use to control already-infected systems remotely.

Quote:

Evidence shows in high probability that the malware is used in targeted attacks for victims who are already under the attacker’s control, or have gone through a heavy reconnaissance.

Basandosi sull'analisi sommaria, questo malware essenzialmente non ha assolutamente nulla di particolare; i malware per Linux non sono comuni, ma esistono da lungo tempo, e tra l'altro, questo non ha nessuna caratteristica innovativa.

Quote:

Originariamente inviato da LukeIlBello

nascondendo tutto il processo di init all'utonto che non controlla più cosa ci sta dentro /etc/init.d

Gli amministratori di sistema che vogliono esaminare gli script/daemon etc. eseguiti all'avvio possono farlo sia con SysV, che con Upstart, che con systemd; essere utonti non c'entra nulla.
Al massimo, è tonto chi pensa che l'avvio si possa esaminare solo con SysV.

[aald213]

Quote:

Originariamente inviato da phmk

Per chi ci crede ancora 😁🤣😂

Nessun sistema è immune da virus, stai ridendo della scoperta dell'acqua calda.

[rgr]

Ciao a tutti,nel mio Pc con ubuntu 16.04 e 18.04.02 Lts non sono riuscito a trovare etc/ld.so.preload,vedo però ld.so.conf e ld.so.conf.d sbaglio forse a cercare?

[aald213]

Quote:

Originariamente inviato da rgr

Ciao a tutti,nel mio Pc con ubuntu 16.04 e 18.04.02 Lts non sono riuscito a trovare etc/ld.so.preload,vedo però ld.so.conf e ld.so.conf.d sbaglio forse a cercare?

Dai un'occhiata a questa pagina.

Il modo più semplice è probabilmente eseguire:

Codice:

dpkg -S /lib/*.so* | grep 'no path found matching pattern'

se non ritorna nulla, il computer non è infetto.

[rgr]

Grazie,l'output non ritorna nulla se no dovrebbe riportare questo output se ho capito bene:

Codice:

dpkg-query: no path found matching pattern /lib/libse1inux.so

come c'è scritto nel tuo link

Ok ma perchè non riesco a trovare la stringa etc/ld.so.preload?E' stata sostituita da altro?