Ontem, a Akamai Security Research está levantando o embargo público ao "Panchan", um novo botnet peer-to-peer sobre o qual eles estão alertando os clientes que está violando servidores Linux desde março.
Panchan é um botnet Linux escrito na linguagem de programação Go e aproveita a simultaneidade de Golang para maximizar sua eficácia na disseminação e execução de módulos de malware. O Panchan também conta com arquivos mapeados na memória para evitar a detecção por meio da presença no disco, ao mesmo tempo em que interrompe seus processos de mineração de criptografia ao detectar o monitoramento do processo. Embora esse botnet execute mineração de criptografia, também há um "modo deus" incorporado a esse malware.
O Panchan também se torna persistente copiando-se para /bin/systemd-workere criando um serviço systemd para tentar aparecer como um serviço systemd legítimo. Procurar por "systemd-worker" é uma das maneiras de detectar a possível presença desse botnet Linux em seu sistema.
O Panchan executa ataques de dicionário SSH, bem como coleta de chaves SSH para movimentação lateral nas redes. Os pesquisadores de segurança da Akamai observaram que sua técnica de coleta de chaves SSH é bastante nova para malware. A maioria das vítimas desta botnet Linux está localizada na Ásia, seguida pela Europa, com particular exploração de redes universitárias/educativas.
Mais detalhes sobre este botnet Panchan através do Akamai blog .
Até a próxima !!
Nenhum comentário:
Postar um comentário