您現在的位置:网站首頁 > 公司動態 > 安全公告:顶级 Linux 间谍木马图兰(Turla)监控45国政府,及它的检测和处理办法

安全公告:顶级 Linux 间谍木马图兰(Turla)监控45国政府,及它的检测和处理办法

近日卡巴斯基和賽門鐵克的安全專家發現了一個極其隱秘的Linux間諜木馬,專門竊取全球政府部門和重要行業的敏感數據。


最新發現的Linux間諜木馬是卡巴斯基和賽門鐵克今年8月份發現的高級持續攻擊——圖蘭(Turla)的另外一塊拼圖。“圖蘭”主要攻擊目標是全球45個國家的政府部門、使領館、軍隊、教育科研機構以及醫藥公司,是當今最頂級的APT高級持續攻擊活動,與最近發現的Regin處于同一級別,與近年來發現的國家級惡意軟件如Flame、Stuxnet和Duqu很像,技術上高度複雜。


據卡巴斯基實驗室透露此前安全界僅發現基于Windows系統的“圖蘭”間諜木馬。而且由于“圖蘭”采用了Rootkit技術,極難被發現。


Linux间谍木马的曝光表明“图兰”的攻击面还覆盖了Linux系统,与Windows版木马类似,Linux版“图兰”木马高度隐秘,使用常规 方法(例如Netstat命令)根本无法察觉,该木马进入系统后会隐藏并保持静默潜伏,有时甚至会在目标的电脑中潜伏长达数年之久,直到攻击者发送包含特 定序列数字的IP包时才会被激活。


激活後Linux版圖蘭木馬可以執行任意命令,甚至無需提升系統權限,任何一個普通權限用戶都能啓動它進行監控。


目前安全界對Linux版圖蘭木馬及其潛在功能的了解還非常有限,已知信息包括該木馬由C和C++語言開發,包含了必要的代碼庫,能夠獨立運行。圖蘭木馬的的代碼去除了符號信息,這使得研究者很難對其進行逆向工程和深入研究。


群英建議用戶的Linux系統管理員盡快自查是否感染了Linux版圖蘭木馬,方法很簡單:

检查出站流量中是否包含以下链接或地 址:news-bbc.podzone[.]org or 80.248.65.183,这是目前已经发现的Linux版图兰木马硬编码的命令控制服务器地址。系统管理员还可以使用开源恶意软件研究工具YARA生成证书,并检测其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”两个字符串。

免费拨打  400-100-2938
免费拨打  400-100-2938 免费拨打 400-100-2938
在线客服
在线客服 24小時售後技術支持
返回頂部
返回頂部 返回頂部