[IP]: Nowy backdoor dla Linuxa o szerokim spektrum działań

Analitycy bezpieczeństwa firmy antywirusowej Doctor Web przebadali złożony, wielozadaniowy backdoor dla Linuxa. Ten złośliwy program może wykonywać liczne polecenia cyberprzestępców, m.in. przeprowadzać ataki DDoS.

Aby rozprzestrzenić nowy backdoor dla Linuxa, o nazwie Linux.BackDoor.Xnote.1, przestępcy przeprowadzają atak „brute force”, żeby nawiązać połączenie SSH z docelową maszyną. Analitycy bezpieczeństwa Doctor Web przypuszczają, że stoi za tym chińska grupa hakerów ChinaZ.

Kiedy backdoor dostanie się do maszyny, sprawdza czy jego kopia działa już w zainfekowanym systemie. Jeśli tak, to przerywa swoją instalację. Złośliwy program będzie zainstalowany w systemie wówczas, gdy został uruchomiony z uprawnieniami głównego administratora (root). Podczas instalacji tworzy swoją kopię w katalogu /bin/ w formie pliku o nazwie iptable6. Następnie usuwa oryginalny plik, który został wykorzystany do uruchomienia wirusa. Linux.BackDoor.Xnote.1 wyszukuje także w katalogu /etc/init.d/ skrypt, który zaczyna się linią “#!/bin/bash” i dodaje do niej kolejną linię, tak aby backdoor mógł być uruchomiony automatycznie.

Program wykorzystuje następującą procedurę do wymiany danych z serwerem zarządzającym przestępców. Aby uzyskać dane konfiguracyjne, backdoor szuka specjalnego wpisu w swoim kodzie — wpis wskazuje na początek zaszyfrowanego bloku konfiguracyjnego — a następnie odszyfrowuje go i zaczyna wysyłać zapytania do serwerów zarządzających z posiadanej listy, do momentu, aż znajdzie serwer odpowiadający na zapytanie, albo aż lista się skończy. Zarówno backdoor jak i serwer wykorzystują bibliotekę zlib do kompresowania pakietów, które wymieniają między sobą.

Najpierw Linux.BackDoor.Xnote.1 wysyła informacje o zainfekowanym systemie do serwera. Przechodzi on wtedy w stan gotowości i czeka na dalsze instrukcje. Jeżeli polecenie obejmuje przeprowadzenie jakiegoś zadania, backdoor tworzy oddzielny proces, który nawiązuje własne połączenie z serwerem, dzięki czemu pozyskuje wszystkie niezbędne dane konfiguracyjne i wysyła wyniki wykonanego zadania.

Stąd, w momencie otrzymania polecenia, program może przypisać unikalne ID do zainfekowanej maszyny, rozpocząć atak DDoS na zdalnym hoście z określonym adresem (może przeprowadzać ataki SYN Flood, UDP Flood, HTTP Flood oraz NTP Amplification), zatrzymać atak, zaktualizować swój plik wykonywalny, wpisać dane do pliku, lub usunąć się z systemu. Backdoor potrafi także wykonywać wiele działań na plikach. Otrzymując odpowiednie polecenie, Linux.BackDoor.Xnote.1 wysyła informacje o systemie plików zainfekowanego komputera (całkowitej liczbie bloków danych w systemie plików oraz liczbie wolnych bloków) do serwera i czeka na inne polecenia, które mogą obejmować:

  •        Wylistowanie plików i katalogów wewnątrz określonego katalogu,
  •        Wysyłanie danych o rozmiarach katalogów do serwera,
  •        Tworzenie pliku, w którym mogą być gromadzone otrzymane dane,
  •        Przyjęcie pliku,
  •        Wysyłanie pliku do serwera zarządzającego (C&C),
  •        Usuwanie pliku,
  •        Usuwanie katalogu,
  •        Sygnalizowanie serwerowi gotowości przyjęcia pliku,
  •        Tworzenie katalogu,
  •        Zmianę nazwy pliku,
  •        Uruchamianie pliku.

Poza tym, backdoor potrafi uruchomić proces powłoki (shell) z określonymi zmiennymi środowiskowymi i udzielić serwerowi C&C dostępu do tej powłoki, uruchomić proxy typu SOCKS na zainfekowanym komputerze, lub uruchomić swoją własną implementację na serwerze portmap.

Sygnatura tego złośliwego programu została dodana do bazy wirusów Dr.Web, dlatego systemy chronione Antywirusem Dr.Web dla Linuxa nie są narażone na działanie nowego backdoora.

Informacja prasowa

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

2 odpowiedzi na „[IP]: Nowy backdoor dla Linuxa o szerokim spektrum działań”
  1. Awatar Sinngel
    Sinngel

    Teraz pytam,jak dostanie się ten wirus na mój komputer?Muszę go pobrać i uruchomić jako root,więc jak???Piszecie o mechanizmach,ale nie pszecie jak zainfekować komputer z Linuksem.W Windowsie wysrtarczy kliknąć,w link,obrazek czy załącznik poczty i już mamy wirusa.Na Linuksie trzeba ściągnąć plik do katalogu domowego,nadać mu uprawnienia do uruchomienia,podać hasło roota żeby ten mógł się zainstalować.Który Linuksiarz popełni stek takich głupot pytam?

  2. Awatar xaoc
    xaoc

    Z Wikipedii
    W bezpieczeństwie pojęcie ataku brute force używane jest do opisania przeprowadzanych przez człowieka lub program komputerowy prób przełamania zabezpieczeń – na przykład odgadnięcia hasła – przez sukcesywne sprawdzanie wszystkich możliwości.

    http://pl.wikipedia.org/wiki/Atak_brute_force

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *