惡意程式HiddenWasp現蹤

• 發布日期：108-12-09
• 發布單位：刑事警察大隊

資安公司Intezer於5/29在官方部落格發布，該公司發現一支專門感染Linux平台，名為HiddenWasp的惡意程式，駭客利用該惡意程式能遠端控制受感染系統。HiddenWasp疑似是中國駭客編寫，由使用者模式Rootkit、木馬及初始部署腳本組合而成。HiddenWasp可操作本機檔案系統，上傳、下載並執行檔案，執行終端命令等動作。HiddenWasp與其他常見Linux惡意程式不同之處，在於它並非將電腦變成挖礦機開採加密貨幣，或是用以進行DDoS攻擊，而是單純用於遠端控制。
HiddenWasp組成複雜，作者從各種開源惡意程式如Mirai與Azazel rootkit等專案借用大量程式碼，且與其他中國製惡意程式存在一些相似處，特別是與近期資安公司Chronicle所發現Winnti惡意程式的Linux變種類似，而該程式是中國駭客的著名工具之一。
HiddenWasp的植入載體(Implant)被託管在ThinkDream ISP業者位於香港的伺服器。研究人員表示，HiddenWasp是某個攻擊行動的第二階段工具，用來植入並控制已被入侵的系統，目前尚無法得知駭客散布HiddenWasp方法。不過有證據顯示已有受害者被HiddenWasp控制，且用來進行大規模偵查活動。目前HiddenWasp正處於活躍狀態，而且所有主要防毒軟體都無法偵測到。HiddenWasp是用於針對性攻擊的惡意程式，但無法肯定其是否屬於某個國家資助的攻擊計畫，但可以確定HiddenWasp的目的，不是執行快速獲取利潤的行動，而是用於長期潛伏控制受害系統。
研究人員提供一個快速檢查系統是否遭到感染的方法，就是搜尋系統中ld.so系列檔案，當相關檔案中均不存在任何包含/etc/ld.so.preload的字串，則系統可能受到感染。因為HiddenWasp的植入載體會對ld.so相關檔案進行更動，以便駭客能從任意位置執行ld.so檔案內的LD_PRELOAD機制。至於防止Linux系統受到HiddenWasp攻擊方式，可先封鎖Intezer提供的C&C IP位置；Intezer也提供惡意軟體識別工具YARA偵測規則，可讓系統檢測在記憶體中執行的程序是否包含HiddenWasp植入載體。
資料來源參考：
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
https://arstechnica.com/information-technology/2019/05/advanced-linux-backdoor-found-in-the-wild-escaped-av-detection/
https://www.ithome.com.tw/news/131017
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16254