Зловред ботнет под *nix систему

23 Jul 2014 | Автор: anchous |

Хакеры уже достаточно давно подбираются к серверным структурам веб-серверов, т.к. они гораздо более стабильны, по сравнению с персональными компьютерами и сидят на более широких и стабильных интернет каналах.

Но если до этого веб-сервера чаще всего попадали под атаки направленные на редирект трафика, seo-продвижение пирогами (ломанные сайты с высоким значением PR), заливка shell и заражение клиентов сайта, то буквально на той неделе, специалисты Яндекса опубликовали доклад о новом зловреде Mayhem (первые упоминания в конце 2013 года), атакующего вебсервера и запускаемого из под ограниченных прав. Запуск зловреда вводит  *nix сервер в многофункциональный ботнет, практически как и любую виндовую машину.

Изначально код Mayhem также выглядит как php скрипт, который после запуска грохает  процессы /usr/bin/host, идентифицирует систему на архитектуру (x64 или x86) и принадлежность (Linux или FreeBSD), после чего размещает бячную библиотеку libworker.so , а также задает переменную AU содержащую полный URL к скрипту.

После этого загрузчик создает shell-скрипт 1.sh, который стартуется командой ‘at now -f 1.sh’ и прописывется в crontab. Если запуск через at завершается неудачей, то скрипт запускает напрямую. Затем загрузчик инициализирует библиотеку и перенаправляет на неё вызовы ‘/usr/bin/host’.

Зловред для своего прикрытия использует алгоритм шифрования XTEA, а также размещает файлы в скрытой файловой системе.  К тому же зловред использует систему плагинов, позволяющей подрубать расширения функционала, которые также размещаются в скрытой файловой системе.

Судя по анализу файлов, зловред используется для брут-форс атак. Но учитывая систему плагинов, видимо представляет из себя многофункциональный клиент ботнета, позволяющий удаленной управление зараженной машиной. Тем более что первые упоминания подобной технологии заражения подрубали зараженный сервер к ботнету использовавшемуся для DDoS атак на удаленные узлы.

В любом случае, байки про безопасность *nix систем постепенно остаются в прошлом, а загрузка сторонних плагинов и шаблонов для CMS становится игрой в интернет-рулетку “угадайка”.

С более подробной информацией можно ознакомиться на странице доклада яндексоидов.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Теги:

Ваш отзыв