Hackernews 编译,转载请注明出处:
在取证调查中,Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件,名为BiBi-Linux Wiper。
亲哈马斯的黑客组织使用这个Wiper来摧毁以色列公司的基础设施。
研究人员注意到,该恶意软件是一个x64 ELF可执行文件,缺乏混淆或保护措施。专家分析的恶意软件样本是用C/ C++编写的,文件大小约为1.2MB。这个二进制文件是使用GCC编译器编译的。黑客可以指定目标文件夹,但是,当以root权限运行时,Wiper可能会破坏整个操作系统。
在执行过程中,它会产生大量输出,可以使用“nohup”命令减轻输出。它还利用多线程和队列并发地破坏文件,从而提高了速度和覆盖范围。它的操作包括覆盖文件,用包含“BiBi”的随机字符串重命名文件,以及排除某些文件类型的损坏。
恶意软件的作者在恶意软件名称和每个被破坏文件的扩展名中硬编码了以色列总理的名字。研究人员还注意到,它没有使用C2服务器,在这种情况下,BiBi-Linux的Wiper也被用来破坏数据。
在每台被感染的机器上发现的恶意文件名为bibi-linux.out。虽然字符串“bibi”(在文件名中)可能看起来是随机的,但当它与中东政治等话题混合在一起时,具有重要意义,因为它是以色列总理 Benjamin Netanyahu 的常用昵称。
一旦执行,恶意软件产生大量输出,在执行期间产生大量的噪音。黑客通过使用“nohup”命令来缓解这个问题,这样程序就可以在不向终端连续打印输出的情况下执行。程序的输出被重定向到一个名为nohup的文件。Out位于二进制目录中。使用“nohup”命令还可以防止擦除过程停止,即使控制台处于关闭状态。
为了加速感染过程,该威胁利用多个线程,并使用队列来同步它们的操作。这种方法允许攻击同时破坏文件,大大提高了总体攻击的范围和速度。
Hackernews 编译,转载请注明出处
消息来源:Securityaffairs,译者:Serene