利用 Telegram 电报感染 Linux 的木马

admin 2024年7月8日08:52:44评论33 views字数 936阅读3分7秒阅读模式

利用 Telegram 电报感染 Linux 的木马

利用 Telegram 电报感染 Linux 的木马

Doctor Web 分析师已经发现了著名的 TgRat 木马的 Linux 版本,该木马用于有针对性的攻击。
恶意软件的显着特征之一是它由 Telegram 电报机器人控制。
TgRat 最初是为 Windows 编写的,于 2022 年被发现。
它是一个为特定设备创建的小型恶意程序,攻击者计划从中窃取机密信息。
随后研究人员表示,TgRat 使用 Telegram 作为控制服务器。
服务器是Messenger中的一个封闭组,并且使用 Telegram API 完成通信。

github.com/wrwrabbit/telegram-bot-api-go

正如 Doctor Web 现在报道的那样,在对该事件的调查过程中,应一家提供托管服务的匿名公司的要求,发现了适用于 Linux 的 TgRat 版本。
该公司的反病毒软件在其中一个客户端的服务器上检测到一个可疑文件。
该文件原来是在目标系统上解压 TgRat ( Linux.BackDoor.TgRat.2 ) 的特洛伊木马植入程序。
新版本的恶意软件也是为了攻击特定的机器而创建的:当它启动时,它会使用嵌入在木马主体中的字符串来检查机器名称的哈希值。
如果值不匹配,TgRat 将终止其进程。
如果成功启动,该木马会连接到网络并与其控制服务器(即 Telegram 机器人)实施交互方案。
该木马通过Telegram 机器人所连接的信使中的封闭组进行控制。
使用 Messenger,攻击者可以向恶意软件发出命令。
例如,从受感染的系统下载文件、截取屏幕截图、远程执行命令或使用附件下载文件。

利用 Telegram 电报感染 Linux 的木马

与 Windows 版本不同的是,该木马的代码通过RSA加密,并使用bash解释器执行命令,这使得在一条消息中执行整个脚本成为可能。
该特洛伊木马的每个实例都有自己的标识符,因此攻击者可以通过将它们全部链接到单个聊天来向不同的机器人发送命令。

利用 Telegram 电报感染 Linux 的木马

研究人员指出,通过仔细分析网络流量可以检测到此类攻击。
通常用户在使用 Telegram(一种即时通讯软件)时,他们的电脑会通过网络与Telegram的服务器进行数据交换,这是很常见的事情。
但是,如果用户尝试与他们自己本地网络(比如家里或办公室的网络)上的服务器进行数据交换,这种情况就不那么常见了。

原文始发于微信公众号(网络研究观):利用 Telegram 电报感染 Linux 的木马

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日08:52:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用 Telegram 电报感染 Linux 的木马https://cn-sec.com/archives/2929421.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息