首页保安新版本的Stantinko恶意软件显示为Apache Web服务器

新版本的Stantinko恶意软件显示为Apache Web服务器

Stantinko是最古老的恶意软件僵尸网络之一,它已通过升级木马使其成为合法的Apache Web服务器(httpd)来更新其Linux恶意软件,从而使其更难检测到受感染的主机。

由安全公司Intezer Labs确定的升级可以确认,尽管一段时间不活动-就代码更改而言-Stantinko僵尸网络今天仍在运行。

Stantinko僵尸网络于2012年首次被检测到。该恶意软件背后的团队通过将Trojan Stantinko作为应用程序软件包的一部分或盗版进行分发而开始运作。 应用。 随着僵尸网络的发展并变得越来越有利可图,其代码也在不断发展。 在2017年发现了一个重要更新 安全公司ESET 发现Stantinko在Linux系统中使用了某些特殊版本的恶意软件。

Stantinko Apache恶意软件

2017年检测到最新版本的Stantinko Linux恶意软件,版本号为1.2。 但是Intezer Labs在今天在ZDNet上发布的一份报告中说,它最近发现了Stantinko Linux恶意软件的新版本2.17,这比以前的已知版本有了巨大的飞跃.

但是,尽管两个版本之间存在巨大差距,但Intezer团队注意到,新版本实际上比旧版本更简单,并且包含的​​功能更少。 ,这很奇怪。

这一奇怪举动背后的一个原因是,斯坦坦科(Stantinko)团伙本来可以从监狱中清除所有碎片。 代码 并仅保留每天必须使用的功能。 这包括其能力 代理,它仍然存在于最新版本中,并且对其功能至关重要 蛮力攻击.

另一个原因可能是Stantinko帮派试图减少 杀毒软件。 更少的代码行意味着更少的恶意行为被检测到。

Intezer指出VirusTotal给出了非常低的 检测率 在最新版本的Stantinko中说,几乎 检测不到.

代表Apache Web服务器

此外,Stantinko黑客似乎已经更改了Linux恶意软件使用的进程的名称,选择了httpd(httpd),这是最受欢迎的Apache Web服务器通常使用的名称。

显然,这是为服务器所有者完成的,不希望在常规的目视检查中检测到恶意软件,因为许多Web发行版中默认都默认包含Apache Web服务器,并且 过程 通常在通常会感染Stantinko的Linux系统上运行。

但是,Linux管理员需要注意,随着Linux操作系统的不断扩展 公司环境,越来越多的恶意软件团伙将开始针对Linux。

现货图片

实时新闻