安全专家发现Linux版“图兰”木马

　　近日卡巴斯基和赛门铁克的安全专家发现了一个极其隐秘的Linux间谍木马，专门窃取全球政府部门和重要行业的敏感数据。

　　最新发现的Linux间谍木马是卡巴斯基和赛门铁克今年8月份发现的高级持续攻击——图兰(Turla)的另外一块拼图。“图兰”主要攻击目标是全球45个国家的政府部门、使领馆、军队、教育科研机构以及医药公司，是当今最顶级的APT高级持续攻击活动，与最近发现的Regin处于同一级别，与近年来发现的国家级恶意软件如Flame、Stuxnet和Duqu很像，技术上高度复杂。

　　据卡巴斯基实验室透露此前安全界仅发现基于Windows系统的“图兰”间谍木马。而且由于“图兰”采用了Rootkit技术，极难被发现。

　　Linux间谍木马的曝光表明“图兰”的攻击面还覆盖了Linux系统，与Windows版木马类似，Linux版“图兰”木马高度隐秘，使用常规方法(例如Netstat命令)根本无法察觉，该木马进入系统后会隐藏并保持静默潜伏，有时甚至会在目标的电脑中潜伏长达数年之久，直到攻击者发送包含特定序列数字的IP包时才会被激活。

　　激活后Linux版图兰木马可以执行任意命令，甚至无需提升系统权限，任何一个普通权限用户都能启动它进行监控。

　　目前安全界对Linux版图兰木马及其潜在功能的了解还非常有限，已知信息包括该木马由C和C++语言开发，包含了必要的代码库，能够独立运行。图兰木马的的代码去除了符号信息，这使得研究者很难对其进行逆向工程和深入研究。

　　安全牛建议重要部门和企业的Linux系统管理员尽快自查是否感染了Linux版图兰木马，方法很简单：检查出站流量中是否包含以下链接或地址：news-bbc.podzone[.]org or 80.248.65.183，这是目前已经发现的Linux版图兰木马硬编码的命令控制服务器地址。系统管理员还可以使用开源恶意软件研究工具YARA生成证书，并检测其中是否包含”TREX_PID=%u” 和 “Remote VS is empty ！”两个字符串。