Bild från UMassAmherst
Linux-system har tidigare attackerats av olika typer av skadlig kod och maskar inklusive den berömda Mirai som bokstavligen betyder japansk framtid. Mirai utvecklades av tre amerikanska studenter och ansågs dödligt för Linux. Först nyligen strömmar en ny typ av mask runt och smyger sig gradvis in i Linux-systemen och anses vara ganska aggressiv av malwareexperter. Även om informationen och fakta kring detta nya tillskott till Linux maskfamilj fortfarande är vag, har några autentiska nyheter från en twitteranvändare kommit.
Enligt twitteranvändaren @VessOnSecurity (en expert på antivirus, skadlig kod och infosec), har en ny mask eller skadlig kod upptäckts på Linux-systemen.
Hans tweet-länk kan nås här:
Fortfarande ingen aning om vad det här är, men det sprider sig MYCKET aggressivt: https://t.co/jrRg5aXxSt
Attackmönstret är vagt Mirai-liknande men det är INTE Mirai. Den körbara är packad, kommandona är ganska polymorfa.
- Vess (@VessOnSecurity) 30 juni 2018
Han hävdar att lite är känt om vad det egentligen är men det verkar sprida sig ganska aggressivt på Linux. Attackmönstret verkar enligt hans åsikt vara Mirai-liknande där ett botnet skulle kunna hysa på över 500 000 Linux IoT-system, men det är verkligen inte Marai den här gången eftersom uppladdningarna i denna mask kommer från tusentals olika IP-adresser istället för från en få förvar som var fallet med Mirai. Hans tweet hävdar: 'Den körbara filen är packad, kommandona är ganska polymorfa.' Den specifika körbara filen som han nämner verkar finnas kvar i en vecka och märks ganska mycket men den ursprungliga skadliga programvaran är äldre och omvandlar dess kod regelbundet.
Bild hämtad från BornCity
@VessOnSecurity fortsatte till dela en karta som visas länder SSH Honeypot och Telnet använder oftast. USA har som förväntat toppositionen. Kartan visar ovanligt stort antal unika webbadresser och IP-adresser som tillskrivs den Mirai-liknande mask som kryper in på Linux-systemen.
Månatlig sammanfattning av resultaten från vår Telnet & SSH honungspott.
Först den stora bilden. Som vanligt har USA topplaceringen.
Observera det ovanligt stora antalet unika IP-adresser och URL: er. Anledningen är den Mirai-liknande mask som jag nämnde häromdagen. pic.twitter.com/C5mOJTPhJp
- Vess (@VessOnSecurity) 30 juni 2018
Detta innebär att de attackerande systemen huvudsakligen finns i USA, men även andra länder som Nederländerna, Frankrike, Italien, England, Grekland, Irland, Polen, Tyskland och Rumänien får skulden.
Mer information om maskens natur, måldjup och aggressivitet förväntas släppas snart.
Taggar Linux skadlig kod