FontOnLake मैलवेयर
इन्फोसेक के शोधकर्ताओं ने मैलवेयर खतरों के एक पूर्व अज्ञात परिवार का खुलासा किया है। इन नई खतरनाक रचनाओं को कस्टम-बिल्ड मॉड्यूल होने की विशेषता है जो सक्रिय विकास के अधीन हैं। इस नए स्थापित मैलवेयर परिवार को दिया गया नाम FontOnLake है और ऐसा लगता है कि यह ज्यादातर Linux सिस्टम को लक्षित कर रहा है। हमलावरों का लक्ष्य छेड़छाड़ की गई मशीन तक पिछले दरवाजे तक पहुंच स्थापित करना और संवेदनशील डेटा एकत्र करना है, जैसे उपयोगकर्ता क्रेडेंशियल।
धमकी देने वाला अभिनेता किसी का ध्यान नहीं रहने पर महत्वपूर्ण जोर देता है। FontOnLake खतरों को बनाते समय उन्होंने ज्यादातर C/C++ और बूस्ट, पोको और प्रोटोबफ सहित कई तृतीय-पक्ष पुस्तकालयों का उपयोग किया। इस मैलवेयर परिवार से जुड़े ऑपरेशन भी अत्यधिक लक्षित और दक्षिण पूर्व एशिया क्षेत्र पर केंद्रित प्रतीत होते हैं
FontOnLake संरचना
FontOnLake छिपे रहने और पता लगाने से बचने की संभावनाओं को बढ़ाने के लिए कई तकनीकों का उपयोग करता है। यह वैध बायनेरिज़ का उपयोग करता है जिन्हें दूषित घटकों को लोड करने के लिए संशोधित किया जा रहा है। FontOnLake भी हमेशा एक रूटकिट के साथ होता है जो संक्रमित मशीन पर तैनात होता है। समग्र रूप से, इस मैलवेयर परिवार के देखे गए घटकों को तीन अलग-अलग श्रेणियों में विभाजित किया जा सकता है - ट्रोजनाइज्ड एप्लिकेशन, बैकडोर और रूटकिट।
प्रत्येक को एक अलग भूमिका के साथ सौंपा गया है। हथियारयुक्त अनुप्रयोगों में वैध बायनेरिज़ होते हैं जिन्हें दुर्भावनापूर्ण गतिविधियों को करने के लिए पुन: प्रोग्राम किया जाता है, जैसे डेटा एकत्र करना या अतिरिक्त मॉड्यूल वितरित करना।स्वाभाविक रूप से, बैकडोर का उपयोग मुख्य संचार चैनलों के रूप में हमलावरों द्वारा किया जाता है, जबकि रूटकिट सिस्टम के कर्नेल स्तर पर खुद को एम्बेड करते हैं और खतरे की क्रियाओं को छिपाने में सहायता करते हैं, अपडेट की सुविधा प्रदान करते हैं, या फॉलबैक बैकडोर के रूप में कार्य करते हैं।
डिटेक्टेड कंपोनेंट वेरिएंट्स
शोधकर्ताओं द्वारा कई हथियारयुक्त अनुप्रयोगों की खोज की गई। ये सभी मानक Linux उपयोगिताएँ थीं जिन्हें डेटा एकत्र करने या कस्टम पिछले दरवाजे या रूटकिट घटकों को लोड करने के लिए संशोधित किया गया है। क्योंकि वे आम तौर पर सिस्टम स्टार्ट-अप पर निष्पादित होते हैं, वे दृढ़ता तंत्र के रूप में भी काम कर सकते हैं।
अब तक विभिन्न बैकडोर को FontOnLake हमलों में उपयोग किए जाने के लिए देखा गया है। वे बूस्ट, पोको, रोटोबफ, और स्मार्ट पॉइंटर्स सहित एसटीएल से कुछ सुविधाओं से पुस्तकालयों को नियोजित करते हैं। पिछले दरवाजे कार्यक्षमता में कुछ ओवरलैप प्रदर्शित करते हैं, जैसे एकत्रित डेटा को बाहर निकालने, फ़ाइल सिस्टम में हेरफेर करने, प्रॉक्सी के रूप में कार्य करने और मनमानी आदेशों को निष्पादित करने में सक्षम होना।
अब तक दो अलग-अलग FontOnLake रूटकिट्स की पहचान की गई है। दोनों suterusu ओपन-सोर्स प्रोजेक्ट पर आधारित हैं, लेकिन इसमें कई कस्टम-मेड तकनीकें शामिल हैं। दो संस्करण एक दूसरे से अलग हैंपर्याप्त रूप से, लेकिन वे कुछ कार्यात्मकताओं में भी ओवरलैप करते हैं। दोनों प्रक्रियाओं और फाइलों को छिपाने, नेटवर्क कनेक्शनों को छिपाने, पोर्ट अग्रेषण, हमलावरों से विशेष डेटा पैकेट प्राप्त करने और एकत्रित क्रेडेंशियल्स को पिछले दरवाजे तक पहुंचाने में सक्षम हैं।
