adv

安全研究人员发现间谍软件Turla的Linux变种

Linux 安全
WinterIsComing (31822)发表于 2014年12月09日 17时18分 星期二
来自NSA开发部门
今年8月,安全公司赛门铁克卡巴斯基曝光了一个针对政府机构、大使馆、军方、研究机构和制药公司窃取敏感信息的间谍软件Turla,当时研究人员只发现感染32位和64位Windows操作系统的样本。现在卡巴斯基发现,这一间谍行动的范围要比以前认为的要广泛得多,他们发现了Turla的Linux模块。Turla的模块大量使用了开源的静态链接库,包括glibc2.3.2、openssl v0.9.6 和libpcap,硬编码指令服务器news-bbc.podzone[.]org,它不需要提升权限就能任意执行代码,无法通过Linux上的管理工具netstat探测到。这种Linux木马可以潜伏多年而不被发现,其幕后攻击者被认为有国家支持

评论已经自动封存,请勿再发言论
显示选项 样式:
声明: 下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。
  • NSA的员工也叫安全人员。 匿名用户 (得分:0) 2014年12月09日 17时44分 星期二

  • 难道是希望国干的? 匿名用户 (得分:0) 2014年12月09日 17时57分 星期二

  • 不需要提权? 匿名用户 (得分:0) 2014年12月09日 18时21分 星期二

    • re:不需要提权?(得分:1 )

      hhding(6047) Neutral 发表于2014年12月10日 17时08分 星期三
      想起了这个软件,异曲同工啊。

      Package: knockd
      State: not installed
      Version: 0.5-3
      Priority: optional
      Section: net
      Maintainer: Leo Costela <costela@debian.org>
      Architecture: amd64
      Uncompressed Size: 168 k
      Depends: libc6 (>= 2.3), libpcap0.8 (>= 1.0.0-1), logrotate
      Conflicts: knockd
      Description: small port-knock daemon
      A port-knock server that listens to all traffic on a given network interface (only Ethernet and PPP are currently supported), looking for a special \"knock\" sequences of
      port-hits. A remote system makes these port-hits by sending a TCP (or UDP) packet to a port on the server. When the server detects a specific sequence of port-hits, it runs a
      command defined in its configuration file. This can be used to open up holes in a firewall for quick access.
      Homepage: http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki
    • re:不需要提权?(得分:1 )

      hhding(6047) Neutral 发表于2014年12月10日 17时08分 星期三
      想起了这个软件,异曲同工啊

      Package: knockd
      State: not installed
      Version: 0.5-3
      Priority: optional
      Section: net
      Maintainer: Leo Costela <costela@debian.org>
      Architecture: amd64
      Uncompressed Size: 168 k
      Depends: libc6 (>= 2.3), libpcap0.8 (>= 1.0.0-1), logrotate
      Conflicts: knockd
      Description: small port-knock daemon
      A port-knock server that listens to all traffic on a given network interface (only Ethernet and PPP are currently supported), looking for a special \"knock\" sequences of
      port-hits. A remote system makes these port-hits by sending a TCP (or UDP) packet to a port on the server. When the server detects a specific sequence of port-hits, it runs a
      command defined in its configuration file. This can be used to open up holes in a firewall for quick access.
      Homepage: http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki