eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetUwaga na nowy backdoor dla Linuxa

Uwaga na nowy backdoor dla Linuxa

2015-02-12 09:01

Uwaga na nowy backdoor dla Linuxa

Uwaga na nowy backdoor dla Linuxa © Spectral-Design - Fotolia.com

Analitycy bezpieczeństwa firmy antywirusowej Doctor Web ostrzegają przed złożonym backdoorem dla Linuxa. Linux.BackDoor.Xnote.1 może wykonywać liczne polecenia cyberprzestępców, na przykład przeprowadzać ataki DDoS, jak również wykonywać szeroki zakres innych złośliwych zadań.

Przeczytaj także: Dzieje cyberprzestępczości: czas na zorganizowane grupy hakerskie

Aby rozprzestrzenić nowy backdoor dla Linuxa, o nazwie Linux.BackDoor.Xnote.1, przestępcy przeprowadzają atak „brute force”, aby nawiązać połączenie SSH z docelową maszyną. Analitycy bezpieczeństwa Doctor Web przypuszczają, że stoi za tym chińska grupa hakerów ChinaZ.

Kiedy Linux.BackDoor.Xnote.1 dostanie się do maszyny, sprawdza czy jego kopia działa już w zainfekowanym systemie. Jeśli tak, to backdoor przerywa swoją instalację. Złośliwy program zostanie zainstalowany w systemie wówczas, gdy został uruchomiony z uprawnieniami głównego administratora (root). Podczas instalacji, złośliwy program tworzy swoją kopię w katalogu /bin/ w formie pliku o nazwie iptable6. Następnie usuwa oryginalny plik, który został wykorzystany do uruchomienia wirusa. Linux.BackDoor.Xnote.1 wyszukuje także w katalogu /etc/init.d/ skrypt, który zaczyna się linią "#!/bin/bash" i dodaje do niej kolejną linię, tak aby backdoor mógł być uruchomiony automatycznie.

Program wykorzystuje następującą procedurę do wymiany danych z serwerem zarządzającym przestępców. Aby uzyskać dane konfiguracyjne, backdoor szuka specjalnego wpisu w swoim kodzie — wpis wskazuje na początek zaszyfrowanego bloku konfiguracyjnego, a następnie odszyfrowuje go i zaczyna wysyłać zapytania do serwerów zarządzających z posiadanej listy, do momentu, aż znajdzie serwer odpowiadający na zapytanie, albo aż lista się skończy. Zarówno backdoor jak i serwer wykorzystują bibliotekę zlib do kompresowania pakietów, które wymieniają między sobą.

Najpierw Linux.BackDoor.Xnote.1 wysyła informacje o zainfekowanym systemie do serwera. Przechodzi on wtedy w stan gotowości i czeka na dalsze instrukcje. Jeżeli polecenie obejmuje przeprowadzenie jakiegoś zadania, backdoor tworzy oddzielny proces, który nawiązuje własne połączenie z serwerem, dzięki czemu pozyskuje wszystkie niezbędne dane konfiguracyjne i wysyła wyniki wykonanego zadania.

fot. Spectral-Design - Fotolia.com

Uwaga na nowy backdoor dla Linuxa

Linux.BackDoor.Xnote.1 może wykonywać liczne polecenia cyberprzestępców, na przykład przeprowadzać ataki DDoS, jak również wykonywać szeroki zakres innych złośliwych zadań.


Stąd, w momencie otrzymania polecenia, Linux.BackDoor.Xnote.1 może przypisać unikalne ID do zainfekowanej maszyny, rozpocząć atak DDoS na zdalnym hoście z określonym adresem (może przeprowadzać ataki SYN Flood, UDP Flood, HTTP Flood oraz NTP Amplification), zatrzymać atak, zaktualizować swój plik wykonywalny, wpisać dane do pliku, lub usunąć się z systemu. Backdoor potrafi także wykonywać wiele działań na plikach. Otrzymując odpowiednie polecenie, Linux.BackDoor.Xnote.1 wysyła informacje o systemie plików zainfekowanego komputera (całkowitej liczbie bloków danych w systemie plików oraz liczbie wolnych bloków) do serwera i czeka na inne polecenia, które mogą obejmować:
  • Wylistowanie plików i katalogów wewnątrz określonego katalogu.
  • Wysyłanie danych o rozmiarach katalogów do serwera.
  • Tworzenie pliku, w którym mogą być gromadzone otrzymane dane.
  • Przyjęcie pliku.
  • Wysyłanie pliku do serwera zarządzającego (C&C).
  • Usuwanie pliku.
  • Usuwanie katalogu.
  • Sygnalizowanie serwerowi gotowości przyjęcia pliku.
  • Tworzenie katalogu.
  • Zmianę nazwy pliku.
  • Uruchamianie pliku.

Poza tym, backdoor potrafi uruchomić proces powłoki (shell) z określonymi zmiennymi środowiskowymi i udzielić serwerowi C&C dostępu do tej powłoki, uruchomić proxy typu SOCKS na zainfekowanym komputerze, lub uruchomić swoją własną implementację na serwerze portmap.

Sygnatura tego złośliwego programu została dodana do bazy wirusów Dr.Web, dlatego systemy chronione Antywirusem Dr.Web dla Linuxa nie są narażone na działanie nowego backdoora.

oprac. : eGospodarka.pl eGospodarka.pl

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: