មេរោគ Quasar Linux RAT

មេរោគ​លីនុច​ដែលទើបរកឃើញថ្មីមួយ ដែលគេស្គាល់ថា Quasar Linux ឬ QLNX កំពុងកំណត់គោលដៅយ៉ាងសកម្មទៅលើអ្នកអភិវឌ្ឍន៍កម្មវិធី និងវិស្វករ DevOps ជាមួយនឹងកម្រិតនៃភាពស្មុគស្មាញ ដែលកម្រឃើញនៅក្នុងការគំរាមកំហែងដែលផ្តោតលើ Linux។

មិនដូចមេរោគភាគច្រើនដែលពឹងផ្អែកលើឯកសារដែលរក្សាទុកនៅលើថាសទេ QLNX ដំណើរការស្ទើរតែទាំងស្រុងនៅក្នុងអង្គចងចាំ ដែលធ្វើឱ្យវាពិបាកខ្លាំងណាស់សម្រាប់ឧបករណ៍សុវត្ថិភាពបែបប្រពៃណីក្នុងការរកឃើញ។ ការគំរាមកំហែងនេះបានបង្កើនការព្រួយបារម្ភយ៉ាងខ្លាំង ដោយសារតែអ្នកណាដែលវាកំណត់គោលដៅ និងអ្វីដែលវាត្រូវបានបង្កើតឡើងដើម្បីលួច។

QLNX មកដល់ជាប្រព័ន្ធគោលពីរដែលមានដោយខ្លួនឯងតែមួយ ប៉ុន្តែនោះជាកន្លែងដែលឥរិយាបថធម្មតាបញ្ចប់។ នៅពេលដែលត្រូវបានប្រតិបត្តិ វាផ្លាស់ប្តូរបន្ទុករបស់វាទៅក្នុងអង្គចងចាំ ហើយមិនបន្សល់ទុកដាននៅលើប្រព័ន្ធឯកសារទេ បន្ទាប់មកដាំខ្លួនវាទៅក្នុងប្រព័ន្ធប្រតិបត្តិការដើម្បីប្រមូលកូនសោ SSH លិខិតសម្គាល់ពពក ថូខឹនចុះបញ្ជីកញ្ចប់ និងពាក្យសម្ងាត់ដែលរក្សាទុកដោយកម្មវិធីរុករក។

ស្ថានីយការងារអ្នកអភិវឌ្ឍន៍ដែលរងការសម្របសម្រួលមិនមែនគ្រាន់តែជាម៉ាស៊ីនដែលឆ្លងមេរោគមួយនោះទេ។ វាគឺជាទ្វារខាងក្រោយចូលទៅក្នុងឃ្លាំងប្រភព បង្កើតបំពង់បង្ហូរ និងបរិស្ថានពពក។ អ្នកវិភាគនៅ GuardSix បានកំណត់អត្តសញ្ញាណមេរោគ ហើយបានកត់សម្គាល់ថាវាត្រូវបានរកឃើញដំបូងដោយអ្នកស្រាវជ្រាវនៅ TrendMicro។

GuardSix បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលបានចែករំលែកជាមួយ Cyber ​​Security News (CSN) ថា QLNX ត្រូវបានបង្កើតឡើងជុំវិញក្របខ័ណ្ឌចូលប្រើពីចម្ងាយ 58 ពាក្យបញ្ជាដែលត្រូវបានរចនាឡើងដើម្បីរំលងការការពារចំណុចបញ្ចប់ Linux ធម្មតា។

មេរោគនេះកំណតគោលដៅប្រព័ន្ធដែលដំណើរការ Debian, Ubuntu, RHEL, Fedora និង Arch ដោយមានអ្នកអភិវឌ្ឍន៍ និងម៉ាស៊ីនបង្កើត CI/CD ជាចំណុចផ្តោតចម្បង។

អ្វីដែលធ្វើឱ្យ QLNX លេចធ្លោគឺសមត្ថភាពរបស់វាក្នុងការសម្របខ្លួនទៅនឹងប្រព័ន្ធ Linux ស្ទើរតែទាំងអស់ដែលវាឆ្លង។ ជំនួសឱ្យការផ្ទុកសមាសធាតុដែលបានបង្កើតជាមុន វាបង្កប់កូដប្រភព C ឆៅ និងប្រើកម្មវិធីចងក្រងផ្ទាល់ខ្លួនរបស់ម៉ាស៊ីនគោលដៅដើម្បីបង្កើត rootkit ផ្ទាល់ខ្លួននៅពេលដំណើរការ។

ដោយសារតែឯកសារលទ្ធផលមានលក្ខណៈពិសេសសម្រាប់ម៉ាស៊ីននីមួយៗ ការរកឃើញហត្ថលេខាឋិតិវន្តបរាជ័យ ហើយមេរោគលាយចូលទៅក្នុងសកម្មភាពដែលមើលទៅធម្មតា។

ការខូចខាតលាតសន្ធឹងហួសពីចំណុចបញ្ចប់តែមួយ។ ការឆ្លងមេរោគដោយជោគជ័យដាក់អ្នកវាយប្រហារនៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់អភិវឌ្ឍន៍ ដោយមានសិទ្ធិចូលប្រើអ្វីគ្រប់យ៉ាងដែលត្រូវការដើម្បីកែប្រែកូដ បោះពុម្ពផ្សាយកញ្ចប់ព្យាបាទ ឬបង្វែរទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ cloud។

អ្នកការពារដែលខកខានការសម្របសម្រួលដំបូងអាចប្រឈមមុខនឹងផលវិបាកដែលឈានដល់ឆ្ងាយជាងម៉ាស៊ីនដែលឆ្លងមេរោគដំបូង។

មេរោគ Quasar Linux RAT វាយប្រហារអ្នកអភិវឌ្ឍន៍

ខ្សែសង្វាក់នៃការឆ្លងមេរោគរបស់ QLNX លាតត្រដាងជាប្រាំមួយដំណាក់កាលដែលត្រូវបានរៀបចំយ៉ាងប្រុងប្រយ័ត្ន ដើម្បីជៀសវាងការបន្សល់ទុកភស្តុតាង។ នៅពេលចាប់ផ្តើម វាបង្កើតឯកសារដែលមានតែនៅក្នុងអង្គចងចាំ សរសេរបន្ទុកពិតប្រាកដរបស់វាទៅក្នុងវា ប្រតិបត្តិបន្ទុកនោះ បន្ទាប់មកលុបឯកសារដើមចេញពីថាស។

ដំណើរការដែលកំពុងដំណើរការមិនមានឯកសារដែលពាក់ព័ន្ធនៅលើប្រព័ន្ធឯកសារទេ ដូច្នេះឧបករណ៍កំចាត់មេរោគដែលមានមូលដ្ឋានលើថាសរកមិនឃើញអ្វីដើម្បីស្កេនទេ។ ដើម្បីជៀសវាងការទាក់ទាញចំណាប់អារម្មណ៍ QLNX សរសេរឈ្មោះដំណើរការផ្ទាល់ខ្លួនរបស់វាឡើងវិញ ដើម្បីធ្វើត្រាប់តាមខ្សែស្រឡាយអ្នកធ្វើការខឺណែលស្របច្បាប់ដូចជា [kworker/0:0] ឬ [migration/0]។

ខ្សែស្រឡាយខឺណែលពិតប្រាកដមិនគួររក្សាការតភ្ជាប់បណ្តាញលំហអ្នកប្រើប្រាស់ ឬមានដំណើរការមេលំហអ្នកប្រើប្រាស់ធម្មតានោះទេ។ ការត្រួតពិនិត្យប្រព័ន្ធធម្មតាភាគច្រើននឹងមើលរំលងការក្លែងបន្លំនេះទាំងស្រុង។

បន្ទាប់មកមេរោគបានចងក្រង rootkit ដែលបានបង្កប់ និងប្រភព PAM backdoor របស់វាប្រឆាំងនឹងបឋមកថាខឺណែលក្នុងស្រុកដោយប្រើ gcc ផ្ទាល់ខ្លួនរបស់ជនរងគ្រោះ ដោយបង្កើតឯកសារវត្ថុដែលបានចែករំលែកតែមួយគត់ក្នុងមួយម៉ាស៊ីន ដែលជៀសវាងការរកឃើញដែលមានមូលដ្ឋានលើហត្ថលេខា។

rootkit ដែលបានចងក្រងផ្ទុកទូទាំងប្រព័ន្ធដោយការកែប្រែឯកសារដែលបង្ខំឱ្យដំណើរការដែលទើបបង្កើតថ្មីនីមួយៗផ្ទុកបណ្ណាល័យព្យាបាទ។ បណ្តាញ peer-to-peer ភ្ជាប់ម៉ាស៊ីនដែលឆ្លងមេរោគ ដូច្នេះការដកថ្នាំងពាក្យបញ្ជាមួយចេញមិនកាត់ផ្តាច់អ្នកវាយប្រហារនោះទេ។

ជំហានជួសជុល និងកាត់បន្ថយសម្រាប់ QLNX

GuardSix ច្បាស់ណាស់ថាការសម្អាតស្តង់ដារមិនគ្រប់គ្រាន់ទេ។ ការលុបពេញលេញ និងការដំឡើងប្រព័ន្ធប្រតិបត្តិការឡើងវិញពីរូបភាពស្អាតដែលបានផ្ទៀងផ្ទាត់គឺជាការជួសជុលដែលអាចទុកចិត្តបានពេញលេញតែមួយគត់ ព្រោះការសម្អាតដោយផ្នែកបន្សល់ទុកហានិភ័យដែលនៅសេសសល់ ពីព្រោះ rootkit eBPF អាចរស់បានលុះត្រាតែត្រូវបានដកចេញទាំងស្រុងនៅកម្រិតខឺណែល។

សម្រាប់ក្រុមដែលមិនអាចបង្កើតរូបភាពឡើងវិញភ្លាមៗ GuardSix ណែនាំឱ្យញែកម៉ាស៊ីនដែលសង្ស័យទាំងអស់ចេញពីបណ្តាញក្នុងពេលតែមួយ ព្រោះការដកពួកវាម្តងមួយៗអនុញ្ញាតឱ្យថ្នាំង mesh ដែលនៅរស់រានមានជីវិតឆ្លងមេរោគឡើងវិញដល់មិត្តភក្ដិដែលបានសម្អាត។

ការដកឯកសារដែលមានស្រាប់ដែលគេស្គាល់ ការសម្អាតការកំណត់រចនាសម្ព័ន្ធបណ្ណាល័យដែលផ្ទុកជាមុន និងការប្រមូលកំណត់ហេតុអត្តសញ្ញាណដែលបានអ៊ិនគ្រីបសម្រាប់ការពិនិត្យឡើងវិញផ្នែកកោសល្យវិច្ច័យគឺចាំបាច់ទាំងអស់។

នៅផ្នែកបង្ការ ការរឹតបន្តឹងកម្មវិធីចងក្រង C នៅលើប្រព័ន្ធដែលមិនតម្រូវឱ្យមានវារារាំង QLNX ពីការបង្កើត rootkit របស់វា។ ការបែងចែកស្ថានីយការងាររបស់អ្នកអភិវឌ្ឍន៍ពីគ្នាទៅវិញទៅមកបំបែកបណ្តាញ peer-to-peer។