资讯专栏INFORMATION COLUMN

上云采购季!| 爆款云服务器低至4.6元/月,首单享0.9折

免费试用
首页/文章专栏/Linux系统又遇新威胁!PRISM后门新变种“水滴”可逃过病毒监测

Linux系统又遇新威胁!PRISM后门新变种“水滴”可逃过病毒监测

yanbingyun1990 / 2531人阅读

摘要:安全威胁者不断更新升级恶意软件的攻击技术,从而可以轻松逃过杀毒软件及防毒设备的监测,这也意味着仅靠传统安全防护措施已不能完全与当今网络攻击相抗衡。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

据研究人员称,PRISM(棱镜)后门已经出现在他们的雷达上超过三年半的时间。

AT&T实验室的安全研究人员发布了一份报告,分享了新发现的Linux%20ELF可执行文件集群的详细信息,该集群在VirusTotal的防病毒检测几乎为0。

研究人员指出,这些可执行文件具有开源后门PRISM的修改版本,威胁行为者在不同的活动中广泛使用它。

据报道,该恶意软件已经出现超过三年半年。最早的样本可以追溯到2017年11月8日。%20研究人员担心,通常很容易检测恶意URL和文件的VirusTotal没有检测到可执行文件。

什么是棱镜?

根据AT&T实验室研究人员的说法,PRISM是一个简单、直接、开源的后门,具有清晰可识别的流量。此外,它的二进制文件更容易检测。然而,他们发现很难检测到它的二进制文件,而且它的C&C服务器已经在线运行了三年半以上。

这表明较小的恶意活动很容易逃过病毒检测器,而相对大型的活动容易被检测。因此仅靠病毒防护软件并无法确保完全过滤恶意软件,为了做好网络安全防护的补充工作,还需不断查找代码缺陷并进行修复,以提高软件自身安全性来抵抗网络攻击。

关于PRISM恶意软件变体

研究人员将PRISM的一种变体称为WaterDrop,它使用相当容易检测的用户代理字符串 agent-waterdropx用于基于HTTP的C&C通信,并访问waterdropx[.]com 域的子域。

据研究人员称,他们发现的一些样本被标记为PRISMv1。研究人员将其归因于相同的运营商,因为该版本使用相同的C&C服务器进行通信。不同的是这个版本引入了一个子进程,它会反复查询C&C服务器以获取要执行的命令。

“该变体背后的威胁行为者设法在VirusTotal中为其样本和域保持了几乎为零的检测分数。这很可能是因为他们的活动规模相当小。

研究人员在博客中称,waterdropx[.]com域于2017年8月18日注册,截至2021年8月10日仍然在线。同时PRISMv2.2和v3也被发现了。据报道,PRISMv2.2引入了XOR加密,例如BASH命令字符串,以隐藏敏感数据,而PRISMv3的工作方式类似,但有一个例外:其客户端包含一个用于识别的机器人ID。

然而,研究人员表示,在大多数攻击中,原始PRISM后门未经任何修改就被使用。报告中写道:“这一事实,再加上后门的开源性质,使其无法正确跟踪威胁行为者的活动。”

安全威胁者不断更新升级恶意软件的攻击技术,从而可以轻松逃过杀毒软件及防毒设备的监测,这也意味着仅靠传统安全防护措施已不能完全与当今网络攻击相抗衡。组织机构更应加强软件自身安全,“软件安全检测及修复”是现有网络安全防护手段的重要补充。

尤其随着近几年巨头公司数据泄露问题突出,企业的安全性取决于安全链中最薄弱的环节。很多时候,保护数据库的‘墙’都有漏洞,攻击者可以利用这些漏洞来获取敏感数据。数据显示,超过六成的安全漏洞与代码有关,而静态代码检测可以有效减少30-70%的安全漏洞提高软件安全性。通过提升软件自身安全为网络安全做好重要补充。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

www.hackread.com/prism-backd…

服务器托管 私有云 Linux系统又遇新威胁!PRISM后门 病毒后门 linux系统安全 蠕虫病毒 网站威胁扫描系统购买攻略

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/118674.html

相关文章

  • 【网络安全】基于网络攻击链的安全防护思考

    摘要:庞大的数据说明了恶意代码的网络传播行为尤为猖獗,全网计算机用户的网络安全防护意识仍待提高。查看网络安全学习资料安装木马攻击者在获取到目标系统的控制权限后,将在目标系统中安装木马,植入后门,后门程序通常具有极强的隐蔽性,很难被正常用户发现。 ...

    jsummer 评论0 收藏0

  • Linux恶意软件简史

    摘要:首个公认的恶意软件是,一种试图将自身依附于运行中的可执行文件并获得访问权限的基本病毒。造成服务器生成垃圾邮件中转恶意软件并重定向链接。 膜拜各位黑客大牛 原文 showImg(https://segmentfault.com/img/bVkwTH); ——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来...

    wuyangchun 评论0 收藏0

  • [系统安全] 三十八.APT系列(3)恶意代码与APT攻击中的武器(Seak老师)

    摘要:在尚未承载关键资产以磁盘为主要信息交换方式时,以制造者心理满足作为主要动力编写的感染病毒。在时代,反病毒引擎的整个体系结构已经趋于成熟,反病毒引擎的更新维护成为安全对抗的工作主线。下图是著名的攻击组织方程式对中东最大的金融服务机构的攻击。 ...

    HtmlCssJs 评论0 收藏0

  • Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据

    摘要:用户很难逃过一劫,即使用户取消安装提示,该提示仍然会立即弹出。该恶意没有图标,一旦安装,恶意程序会立即在后台运行。该恶意软件的后门被命名为,目的是误导用户认为它是一个合法的系统应用。 Android系统似乎已经成为世界各地病毒作者的首选目标,每天都有新的恶意软件在感染更多的设备。 这一次,安全公司趋势科技发布警告,他们发现了一个新的Android后门——GhostCtrl GhostC...

    TANKING 评论0 收藏0

  • Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据

    摘要:用户很难逃过一劫,即使用户取消安装提示,该提示仍然会立即弹出。该恶意没有图标,一旦安装,恶意程序会立即在后台运行。该恶意软件的后门被命名为,目的是误导用户认为它是一个合法的系统应用。 Android系统似乎已经成为世界各地病毒作者的首选目标,每天都有新的恶意软件在感染更多的设备。 这一次,安全公司趋势科技发布警告,他们发现了一个新的Android后门——GhostCtrl GhostC...

    draveness 评论0 收藏0

发表评论

登陆后可评论

0条评论

yanbingyun1990

|高级讲师
我要私信

TA的文章

阅读更多

云社区相关服务

提问 提问 学习 学习 认证 认证 产品 产品 技术服务 技术服务 售前咨询 售前咨询
最新活动
阅读需要支付1元查看
<