您現在的位置:網站首頁 > 公司動態 > 安全公告:頂級 Linux 間諜木馬圖蘭(Turla)監控45國政府,及它的檢測和處理辦法

安全公告:頂級 Linux 間諜木馬圖蘭(Turla)監控45國政府,及它的檢測和處理辦法

近日卡巴斯基和賽門鐵克的安全專家發現了一個極其隱秘的Linux間諜木馬,專門竊取全球政府部門和重要行業的敏感數據。


最新發現的Linux間諜木馬是卡巴斯基和賽門鐵克今年8月份發現的高級持續攻擊——圖蘭(Turla)的另外一塊拼圖。“圖蘭”主要攻擊目標是全球45個國家的政府部門、使領館、軍隊、教育科研機構以及醫藥公司,是當今最頂級的APT高級持續攻擊活動,與最近發現的Regin處于同一級別,與近年來發現的國家級惡意軟件如Flame、Stuxnet和Duqu很像,技術上高度復雜。


據卡巴斯基實驗室透露此前安全界僅發現基于Windows系統的“圖蘭”間諜木馬。而且由于“圖蘭”采用了Rootkit技術,極難被發現。


Linux間諜木馬的曝光表明“圖蘭”的攻擊面還覆蓋了Linux系統,與Windows版木馬類似,Linux版“圖蘭”木馬高度隱秘,使用常規 方法(例如Netstat命令)根本無法察覺,該木馬進入系統后會隱藏并保持靜默潛伏,有時甚至會在目標的電腦中潛伏長達數年之久,直到攻擊者發送包含特 定序列數字的IP包時才會被激活。


激活后Linux版圖蘭木馬可以執行任意命令,甚至無需提升系統權限,任何一個普通權限用戶都能啟動它進行監控。


目前安全界對Linux版圖蘭木馬及其潛在功能的了解還非常有限,已知信息包括該木馬由C和C++語言開發,包含了必要的代碼庫,能夠獨立運行。圖蘭木馬的的代碼去除了符號信息,這使得研究者很難對其進行逆向工程和深入研究。


群英建議用戶的Linux系統管理員盡快自查是否感染了Linux版圖蘭木馬,方法很簡單:

檢查出站流量中是否包含以下鏈接或地 址:news-bbc.podzone[.]org or 80.248.65.183,這是目前已經發現的Linux版圖蘭木馬硬編碼的命令控制服務器地址。系統管理員還可以使用開源惡意軟件研究工具YARA生成證書,并檢測其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”兩個字符串。

免費撥打  400-100-2938
免費撥打  400-100-2938 免費撥打 400-100-2938
在線客服
在線客服 24小時售后技術支持
返回頂部
返回頂部 返回頂部
新加坡快乐8走势图