Akamai Security Research poistaa tänään julkisen kauppasaarron”Panchanille”, uudelle vertaisbottiverkolle, josta he varoittavat asiakkaita ja joka on rikkonut Linux-palvelimia maaliskuusta lähtien.

Panchan on Linux-bottiverkko, joka on kirjoitettu Go-ohjelmointikielellä ja joka hyödyntää Golangin samanaikaisuutta maksimoidakseen tehonsa haittaohjelmien levittämisessä ja suorittamisessa. Panchan luottaa lisäksi muistikartoitettuihin tiedostoihin välttääkseen havaitsemisen levyllä olevan läsnäolon kautta, ja samalla kerrotaan myös pysäyttävän salauslouhintaprosessinsa havaitessaan prosessin valvontaa. Vaikka tämä botnet suorittaa kryptolouhintaa, myös tähän haittaohjelmistoon on upotettu”jumalatila”.

Panchan tehdään myös pysyväksi kopioimalla itsensä kansioon/bin/systemd-worker ja luomalla systemd-palvelun, joka yrittää esiintyä laillisena systemd-palveluna.”systemd-worker”:n etsiminen on yksi tavoista havaita tämän Linux-bottiverkon mahdollinen esiintyminen järjestelmässäsi.

Panchan suorittaa SSH-sanakirjahyökkäyksiä sekä kerää SSH-avaimia sivuttaisliikettä varten verkoissa. Akamain tietoturvatutkijat huomauttivat, että sen SSH-avainten keräystekniikka on melko uusi haittaohjelmille. Suurin osa tämän Linux-bottiverkon uhreista sijaitsee Aasiassa, jota seuraa Eurooppa, jossa hyödynnetään erityisesti yliopisto-/koulutusverkkoja.

Lisätietoja tästä Panchan-bottiverkosta löytyy Akamai-blogista.

Categories: IT Info