LES SYSTÈMES LINUX CIBLÉS PAR LES LOGICIELS MALVEILLANTS CHINOIS SURNOMMÉS « HIDDENWASP »

Posté le juin 1, 2019 à 20:52

LES SYSTÈMES LINUX CIBLÉS PAR LES LOGICIELS MALVEILLANTS CHINOIS SURNOMMÉS « HIDDENWASP »

Bien que Linux ait toujours été présenté comme un système d’exploitation beaucoup plus sûre que Windows, il s’avère que cela a toujours été un peu faux. Les deux systèmes d’exploitation ont mis en place des mesures de sécurité pour ceux qui sont obsédés par la sécurité, mais le grand nombre de personnes utilisant Windows par rapport à Linux signifie que toute personne souhaitant cibler un public aussi large que possible créera un logiciel malveillant Windows. D’autant que la plupart des entreprises utilisent une version de Windows au lieu de Linux.

Les logiciels malveillants dont dispose Linux sont principalement axés sur son utilisation efficace des ressources. Les hackers ont eu tendance à placer des logiciels malveillants de minage de crypto-monnaies qui consomment les ressources d’une machine ou un logiciel DDoS pour sert de support aux attaques DDoS. Il y a un nouveau logiciel malveillant dans l’écosystème Linux aujourd’hui et il s’appelle HiddenWasp – et contrairement à beaucoup de logiciels malveillants Linux courants, il se concentre principalement sur le contrôle à distance de l’ordinateur qu’il a infecté. Une attaque ciblée de ce type pointe vers des objectifs très spécifiques de la part du ou des attaquants.

Intezer donne des détails sur les logiciels malveillants

La société de recherche en sécurité Intezer a déclaré que le logiciel malveillant est extrêmement dangereux pour deux raisons. Il est toujours actif et utilisé régulièrement par les attaquants. La deuxième raison est due au fait que les logiciels malveillants peuvent échapper à de nombreuses logiciels antivirus.

Le logiciel malveillant emprunte du code à deux programmes malveillants très populaires, le rootkit Azael et Mirai. Une partie importante du code peut également être trouvée dans les logiciels malveillants développés en Chine, mais cette attribution particulière n’est faite que de manière peu fiable, selon le chercheur en sécurité Ignacio Sanmillan.

Cependant, si HiddenWasp a emprunté pas mal de logiciels malveillants accessibles au public, la majorité du code est unique, explique Ignacio. Le logiciel se compose d’un rootkit créé par l’utilisateur, ainsi que d’un cheval de Troie, dont la dernière partie est un script de déploiement initial. Ignacio note que les créateurs de logiciels malveillants centrés sur Linux n’ont en fait pas tendance à consacrer beaucoup d’efforts à l’écriture de la section de l’implant de leur programme malveillant. Surtout si l’on considère les difficultés que rencontrent les auteurs de logiciels malveillants Windows.

Selon Sanmillan, la raison est que le logiciel antivirus est aussi disponible sous Linux. Il n’est tout simplement pas aussi robuste que ses homologues sous Windows. Cela ne devrait surprendre personne dans le monde de la sécurité informatique, car Windows a fait face à un plus grand nombre de virus et a donc une meilleure immunité.

Le problème avec Linux, cependant, c’est qu’il existe une très large base d’exemples de logiciels malveillants open source qui peuvent être adaptés aux besoins spécifiques des utilisateurs. Il s’agit notamment des techniques d’évasion très puissantes qui sont très faciles à adapter à n’importe quel objectif de l’attaquant.

Comment se protéger contre HiddenWasp ?

Comme le taux de détection de HiddenWasp est très faible, il reste encore du travail à faire pour atténuer la menace posée par ce logiciel malveillant. La première chose essentielle à faire pour sécuriser un ordinateur Linux est la prévention. Cette étape ne fonctionnerait vraiment que si l’ordinateur cible n’est pas infecté. La prévention est possible en bloquant les adresses IP Command-and-Control associées au logiciel malveillant.

La deuxième étape, au cas où votre système serait compromis, consiste à utiliser une règle de Yara qu’Intezer a aimablement fournie. Cette règle de Yara s’applique aux artefacts en mémoire. Cela aide à détecter le logiciel malveillant. Une autre méthode pour vérifier si le logiciel malveillant est sur votre ordinateur Linux consiste à rechercher des fichiers portant le nom «ld.so». Les fichiers doivent tous contenir la chaîne «/etc/ld.so.preload». S’il en manque un, il y a de fortes chances pour que l’ordinateur soit infecté.

La raison en est que le logiciel malveillant corrige ld.so afin qu’il puisse appliquer le mécanisme LD_PRELOAD à partir d’une grande variété d’emplacements aléatoires.

Bien que ce logiciel malveillant soit dangereux et qu’il évite facilement les programmes audiovisuels, il est au moins possible d’isoler votre ordinateur contre lui grâce aux conseils d’Intezer.

Summary
LES SYSTÈMES LINUX CIBLÉS PAR LES LOGICIELS MALVEILLANTS CHINOIS SURNOMMÉS "HIDDENWASP"
Article Name
LES SYSTÈMES LINUX CIBLÉS PAR LES LOGICIELS MALVEILLANTS CHINOIS SURNOMMÉS "HIDDENWASP"
Description
Bien que Linux ait toujours été présenté comme un système d'exploitation beaucoup plus sûre que Windows, il s'avère que cela a toujours été un peu faux.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading