Зловред ботнет под *nix систему
23 Jul 2014 | Автор: dd |Хакеры уже достаточно давно подбираются к серверным структурам веб-серверов, т.к. они гораздо более стабильны, по сравнению с персональными компьютерами и сидят на более широких и стабильных интернет каналах.
Но если до этого веб-сервера чаще всего попадали под атаки направленные на редирект трафика, seo-продвижение пирогами (ломанные сайты с высоким значением PR), заливка shell и заражение клиентов сайта, то буквально на той неделе, специалисты Яндекса опубликовали доклад о новом зловреде Mayhem (первые упоминания в конце 2013 года), атакующего вебсервера и запускаемого из под ограниченных прав. Запуск зловреда вводит *nix сервер в многофункциональный ботнет, практически как и любую виндовую машину.
Изначально код Mayhem также выглядит как php скрипт, который после запуска грохает процессы /usr/bin/host, идентифицирует систему на архитектуру (x64 или x86) и принадлежность (Linux или FreeBSD), после чего размещает бячную библиотеку libworker.so , а также задает переменную AU содержащую полный URL к скрипту.
После этого загрузчик создает shell-скрипт 1.sh, который стартуется командой ‘at now -f 1.sh’ и прописывется в crontab. Если запуск через at завершается неудачей, то скрипт запускает напрямую. Затем загрузчик инициализирует библиотеку и перенаправляет на неё вызовы ‘/usr/bin/host’.
Зловред для своего прикрытия использует алгоритм шифрования XTEA, а также размещает файлы в скрытой файловой системе. К тому же зловред использует систему плагинов, позволяющей подрубать расширения функционала, которые также размещаются в скрытой файловой системе.
Судя по анализу файлов, зловред используется для брут-форс атак. Но учитывая систему плагинов, видимо представляет из себя многофункциональный клиент ботнета, позволяющий удаленной управление зараженной машиной. Тем более что первые упоминания подобной технологии заражения подрубали зараженный сервер к ботнету использовавшемуся для DDoS атак на удаленные узлы.
В любом случае, байки про безопасность *nix систем постепенно остаются в прошлом, а загрузка сторонних плагинов и шаблонов для CMS становится игрой в интернет-рулетку “угадайка”.
С более подробной информацией можно ознакомиться на странице доклада яндексоидов.
Теги: IT безопасность
