标签 木马 下的文章

两名中国的安全研究人员开发了一个新的 Web shell,并把它开源到 GitHub 上了,任何人都可以使用它,或基于它改造成自己的黑客工具。

这个 Web Shell 的名字是 “ C刀 Cknife ”——中国小刀的意思。它首次出现在 2015 年底,以 Java 开发,包括一个可以让它连接到 Java、PHP、ASP 和 ASP.NET 等服务器的服务器端组件。

两位作者是来自 MS509Team 的 Chora 和 MelodyZX,其中 MelodyZX 曾向阿里安全应急响应提交过漏洞,并应邀参加过2016 网络安全年会专题演讲。

中国菜刀 China Copper ”之后的复刻版

Recorded Future 的调查显示,这两位作者想要创造一个“中国菜刀”的复刻版。“中国菜刀”是一个非常有效的,但是已经过时的 Web Shell,它发布于 2013 年,曾经是中国红客的首选工具。

在“C刀”和“中国菜刀”之间有一些相同的地方,比如图标和发起 HTTP 请求的行为,但是两个工具也有根本性的不同,“C刀”采用 Java 编写,而“中国菜刀”则以 C++ 编写。此外,“C刀”在 Web Shell 的客户端和被入侵的服务器之间的通讯使用 HTTP,而“中国菜刀”则使用的是 HTTPS。Recorded Future 说“C刀”的作者承诺或在未来几个月内增加 HTTPS 支持。

Recorded Future:“C刀”是 Web 服务器的远程管理木马(RAT)

目前,“C刀”允许使用者同时连接多台服务器,比如同时连接到 Web 服务器和数据库,以及运行一个远程命令行。

由于其大量的功能和甚至支持替换显示样式的漂亮界面,Recorded Future 认为它更像是一个“Web 服务器的远程管理木马(RAT)”而不是传统的 Web Shell。

尽管两位作者作为安全人员的职业很成功,但是这种开源了 Web Shell 的行为似乎跨越了白帽子和黑帽子之间的界限,相对于网络安全从业人员而言,这种工具对于网络攻击者更有用处。

头条消息

在 Google 的 Play 市场中发现了一个名为 Viking Horde 的高危木马,它已经在五个应用中发现:Viking Jump、Parrot Copter、WiFi Plus、Memory Booster 和 Simple 2048。感染该木马的设备可以被攻击者利用来进行点击欺诈、发送短信甚至发起 DDoS 攻击。这些应用虽然已被 Google 清除,但是安全研究人员称,同样的手法可以绕过 Google 的应用审查过程,所以将来还有可能出现更多的含有该木马的应用。

版本更迭

  • AryaLinux 发布了 2016.04 版本。它是一个基于 LFS 及 BLFS 的发行版,采用了轻量级的 MATE 桌面。
  • Q4OS 项目发布了针对树莓派 3B 的版本, Q4OS 是一个轻巧易用的 Linux 系统,基于 Raspbian 构建,提供了已经优化好的 TDE (Trinity 桌面环境)。
  • Canonical 为 Ubuntu 12.04Ubuntu 14.04Ubuntu 15.10 修复了多个内核安全补丁。
  • Mesa 3D 图形库发布 11.1.4 ,但是建议用户升级到 11.2 系列,它也最新发布了 11.2.2 版本。
  • Solus 项目发布了新打造的软件管理器,界面看起来非常现代化。
  • 在经过了一年多的开发后, Rebellin Linux 3 发布了。它是一个基于 Debian 的发行版,带有两种桌面环境 GNOME 和 MATE 。
  • Linux AIO 发布了 Linux AIO Debian Live 8.4.0 和 Linux AIO Debian Live 7.10.0 的 Live 镜像,将这两个版本的不同分支分别打包到了两个单一的 ISO 镜像中。

Is something watching you?

译注:原文标题中Tuxpocalypse是作者造的词,由Tux和apocalypse组合而来。Tux是Linux的LOGO中那只企鹅的名字,apocalypse意为末世、大灾变,这里翻译成企鹅的末日。

你被监视了吗?

带上一箱罐头,挖一个深坑碉堡,准备进入一个完全不同的新世界吧:一个强大的木马已经在Linux中被发现

没错,迄今为止最牢不可破的计算机世外桃源已经被攻破了,安全专家们都已成惊弓之鸟。

关掉电脑,拔掉键盘,然后再买只猫(忘掉YouTube吧)。企鹅末日已经降临,我们的日子不多了。

我去?这是真的吗?依我看,不一定吧~

一次可怕的异常事件!

先声明,我并没有刻意轻视此次威胁(人们给这个木马起名为‘Turla’)的严重性,为了避免质疑,我要强调的是,作为Linux用户,我们不应该为此次事件过分担心。

此次发现的木马能够在人们毫无察觉的情况下感染Linux系统,这是非常可怕的。事实上,它的主要工作是搜寻并向外发送各种类型的敏感信息,这一点同样令人感到恐惧。据了解,它已经存在至少4年时间,而且无需root权限就能完成这些工作。呃,这是要把人吓尿的节奏吗?

But - 但是 - 新闻稿里常常这个时候该出现‘but’了 - 要说恐慌正在横扫桌面Linux的粉丝,那就有点断章取义、甚至不着边际了。

对我们中的有些人来说,计算机安全隐患的确是一种新鲜事物,然而我们应该对其审慎对待:对桌面用户来说,Linux仍然是一个天生安全的操作系统。一次瑕疵不应该否定它的一切,我们没有必要慌忙地割断网线。

国家资助,目标政府

Is a penguin snake a ‘Penguake’ or a ‘Snaguin’?

企鹅和蛇的组合该叫‘企蛇’还是‘蛇鹅’?

‘Turla’木马是一个复杂、高级的持续威胁,四年多来,它以政府、大使馆以及制药公司的系统为目标,其使用的攻击方式所基于的代码至少在14年前就已存在了。

在Windows系统中,安全研究领域来自赛门铁克和卡巴斯基实验室的超级英雄们首先发现了这条黏黏的蛇,他们发现Turla及其组件已经感染了45个国家的数百台个人电脑,其中许多都是通过未打补丁的0day漏洞感染的。

微软,干得漂亮。

经过卡巴斯基实验室的进一步努力,他们发现,同样的木马出现在了Linux上。

这款木马无需高权限就可以“拦截传入的数据包,在系统中执行传入的命令”,但是它的触角到底有多深,有多少Linux系统被感染,它的完整功能都有哪些,这些目前都暂时还不明朗。

根据它选定的目标,我们推断“Turla”(及其变种)是由某些民族的国家资助的。美国和英国的读者不要想当然以为这些国家就是“那些国家”。不要忘了我们自己的政府也很乐于趟这摊浑水。

观点 与 责任

这次的发现从情感上、技术上、伦理上,都是一次严重的失利,但它远没有达到说我们已经进入一个病毒和恶意软件针对桌面自由肆虐的时代。

Turla 并不是那种用户关注的“我想要你的信用卡”病毒,那些病毒往往绑定在一个伪造的软件下载链接中。Turla是一种复杂的、经过巧妙处理的、具有高度适应性的威胁,它时刻都具有着特定的目标(因此它绝不仅仅满足于搜集一些卖萌少女的网站账户密码,sorry 绿茶婊们!)。

卡巴斯基实验室是这样介绍的:

“Linux上的Turla模块是一个链接多个静态库的C/C++可执行文件,这大大增加了它的文件体积。但它并没有着重减小自身的文件体积,而是剥离了自身的符号信息,这样就增加了对它逆向分析的难度。它的功能主要包括隐藏网络通信、远程执行任意命令以及远程管理等等。它的大部分代码都基于公开源码。”

不管它的影响和感染率如何,它的技术优势都将不断给那些号称聪明的专家们留下一个又一个问题,就让他们花费大把时间去追踪、分析、解决这些问题吧。

我不是一个计算机安全专家,但我是一个理智的网络脑残粉,要我说,这次事件应该被看做是一个通(jing)报(gao),而并非有些网站所标榜的洪(shi)水(jie)猛(mo)兽(ri)。

在更多细节披露之前,我们都不必恐慌。只需继续计算机领域的安全实践,避免从不信任的网站或PPA源下载运行脚本、app或二进制文件,更不要冒险进入web网络的黑暗领域。

如果你仍然十分担心,你可以前往卡巴斯基的博客查看更多细节,以确定自己是否感染。


via: http://www.omgubuntu.co.uk/2014/12/government-spying-turla-linux-trojan-found

作者:Joey-Elijah Sneddon 译者:Mr小眼儿 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出