正如许多人听到/读到的消息,最近发现了一个名为“Turla”的国家赞助的木马恶意软件模块,它感染了 Linux 主机:(来自 ArsTechnica 的新闻)(来自 OMG-Ubuntu 的新闻)(卡巴斯基的技术报告)
在 ArsTechnica 的文章中,提到:
想要检查受 Turla 感染的 Linux 系统的管理员可以检查连接到 news-bbc.podzone[.]org 或 80.248.65.183 的传出流量,...管理员还可以使用名为 YARA 的工具来检测字符串来构建签名“TREX_PID=%u”和“远程 VS 为空!”
这个简短的解释并没有真正帮助我弄清楚我应该如何检查我的系统是否被感染!
那么有人可以给出清晰的分步说明吗?
更新:虽然似乎没有绝对的检测感染的方法,但是使用方便的网络监控工具来检测与上述地址的连接(例如vnstat,netstat,...)非常感谢和需要使用方便的工具来阻止与上述地址(例如 ufw、iptables 等)的连接的步骤!
我昨天刚刚在security.stackexchange.com上写了一篇关于 Turla 的文章,涵盖了 Windows 和 Linux 版本。你可以在这里找到它。
好消息,通过阅读它,您可以更好地了解 Turla 家族的能力。
坏消息,“虽然已知存在来自 Turla 框架的 Linux 变体,但我们还没有在野外看到任何变体。” - 卡巴斯基实验室
这意味着,迄今所做的唯一的分析已经从蜜罐捕获恶意软件,而且它是非常难以检测。如果您有兴趣,我在我的文章中重点介绍了一些已知使用的反检测方法。
我想您会发现,除了您在文章中已经找到的内容之外,目前您真的没有什么可以做的了。
| 归档时间: |
|
| 查看次数: |
4266 次 |
| 最近记录: |