Linux.BackDoor.Gates.5 – еще один троянец для Linux

Discussion in 'Мировые новости. Обсуждения.' started by Угрюмый, 8 Jun 2014.

  1. Угрюмый

    Угрюмый Elder - Старейшина

    Joined:
    3 Sep 2006
    Messages:
    210
    Likes Received:
    198
    Reputations:
    5
    Укоренившееся в сознании некоторых пользователей мнение о том, что для операционных систем, построенных на базе ядра Linux, на сегодняшний день не существует серьезных угроз, все чаще подвергается испытаниям на прочность. В мае 2014 года специалисты антивирусной компании «Доктор Веб» обнаружили рекордное по сравнению с предыдущими месяцами число вредоносных программ для Linux, и уже в июне этот список пополнился новыми представителями Linux-троянцев, получивших общее название Linux.BackDoor.Gates.

    Вредоносные программы семейства Linux.BackDoor.Gates, об одном из представителей которого, Linux.BackDoor.Gates.5, мы хотели бы рассказать в этой статье, сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторами являются те же вирусописатели, которые разработали троянцев семейств Linux.DnsAmp и Linux.DDoS. Троянец состоит из двух функциональных модулей: основной представляет собой бэкдор, способный выполнять поступающие от злоумышленников команды, второй, сохраняемый на диск основным модулем в процессе установки троянца, предназначен для осуществления DDoS-атак. В ходе своей работы Linux.BackDoor.Gates.5 собирает и передает злоумышленникам следующую информацию об инфицированном компьютере:
    Количество ядер CPU (читает из /proc/cpuinfo).
    Скорость CPU (читает из /proc/cpuinfo).
    Использование CPU (читает из /proc/stat).
    IP Gate'a (читает из /proc/net/route).
    MAC-адрес Gate'a (читает из /proc/net/arp).
    Информацию о сетевых интерфейсах (читает из /proc/net/dev).
    MAC-адрес сетевого устройства.
    Объем памяти (используется параметр MemTotal из /proc/meminfo).
    Объем переданных и полученных данных (читает из /proc/net/dev).
    Название и версию ОС (с помощью вызова команды uname).

    После своего запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен, и в зависимости от полученного результата может реализовать четыре возможные модели поведения.

    Если путь расположения исполняемого файла бэкдора отличен от путей утилит netstat, lsof, ps, то троянец запускает себя в системе как демон, после чего начинает процедуру инициализации, в процессе которой расшифровывает из своего тела конфигурационный файл. Этот файл содержит различные данные, необходимые для работы троянца, такие как, например, IP-адрес и порт управляющего сервера, параметры установки бэкдора и некоторые другие.

    В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле троянец либо самостоятельно соединяется с управляющим сервером, либо ожидает входящего соединения — после успешной установки такового бэкдор проверяет IP-адрес обращающегося к нему узла и работает с ним, как с командным сервером.

    В процессе своей установки троянец проверяет файл /tmp/moni.lock, и, если он не пустой, читает записанное в него значение (PID процесса) и «убивает» процесс с таким ID. Затем Linux.BackDoor.Gates.5 проверяет, запущен ли в системе DDoS-модуль и собственный процесс бэкдора (если они запущены, эти процессы также «убиваются»). Если в файле конфигурации установлен специальный флаг g_iIsService, то троянец прописывает себя в автозагрузку, записывая строку #!/bin/bash\n<path_to_backdoor> в файл /etc/init.d/, после чего Linux.BackDoor.Gates.5 создает следующие символические ссылки:
    ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
    ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
    ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
    ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

    Если в конфигурационном файле установлен флаг g_bDoBackdoor, троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty и запускает. На финальном этапе установки Linux.BackDoor.Gates.5 создает еще одну собственную копию в папке /usr/bin/ с именем, записанным в конфигурационном файле, а также замещает собой следующие утилиты:
    /bin/netstat
    /bin/lsof
    /bin/ps
    /usr/bin/netstat
    /usr/bin/lsof
    /usr/bin/ps
    /usr/sbin/netstat
    /usr/sbin/lsof
    /usr/sbin/ps

    На этом процесс установки троянца завершается и вызывается функция для выполнения его основных задач.

    В случае использования двух других алгоритмов поведения троянец также стартует на инфицированном компьютере как демон, проверяет, запущены ли его компоненты путем чтения соответствующего .lock-файла (и, если нет, запускает их), однако использует разные имена для сохранения файлов и регистрации себя в автозагрузке.

    Установив связь с командным сервером, Linux.BackDoor.Gates.5 получает от него конфигурационные данные с заданием, которое должен выполнить бот. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом, выполнить команду из блока конфигурационных данных или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес.

    Основной целью DDoS-атак, осуществляемых с помощью этого бэкдора, являются китайские серверы, однако среди избранных злоумышленниками целей встречаются и другие страны — географическое распределение DDoS-атак, реализованных с использованием этого троянца, показано на следующей иллюстрации:
    [​IMG]


    Данная вредоносная программа внесена в вирусные базы Dr.Web и потому не представляет опасности для пользователей наших антивирусных продуктов.

    5 июня 2014 года
    http://news.drweb.com/show/?i=5801&lng=ru&c=5
     
    #1 Угрюмый, 8 Jun 2014
    Last edited by a moderator: 9 Jun 2014
  2. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Ну наконец-то! Можно ссылку на вирус? Хочу заразить свой комп, посмотреть на живой вирус. Надеюсь он не спрашивает пароль от ROOT-а, для установки?
    Заметил, что Linux-вирусы находят только продавцы антивирусов.
     
  3. Art!P

    Art!P Elder - Старейшина

    Joined:
    22 Jan 2008
    Messages:
    170
    Likes Received:
    28
    Reputations:
    5
    А почему нет? Да! Скомпилированный вирус для конкретного линукса при наличии всего необходимого окружения в системе (библиотеки, пути и т.д.) и соотвествующих прав запускающего вполне может заразиться вирусом =)
    Там правда могут возникнуть сложности: нужен SUDO, в RPM-линуксах еще и SELinux есть, что тоже усложняет заражение.

    Нужен идиот, который готов рутом это дело запустить. Вы же знаете эту практику распространения ПО в линуксах, причем давно устоявшаяся практика - это компилировать из исходников или ставить с официального репозитария.
     
  4. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Задаете вопрос, сами на него отвечаете, и приводите те же аргументы, что и у меня. Подтверждая, что нужно самому установить вирус.
    Но самое сладкое не в этом, разработчики продают антивирусы, которые в большинстве своем не смогут защитить от уязвимостей, кроме того им для работы просто необходимы права root-а, то есть антивирусы открывают доступ их создателям и увеличивают потенциальную опасность уязвимостей из-за возможных ошибок.
     
  5. Spektr

    Spektr New Member

    Joined:
    7 Dec 2006
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    http://vms.drweb.com/virus/?i=3842424

    Ну вот этому, судя по путям, как минимум рут не нужен

    Ну а при наличии ожидаемого окружения, да еще дырявого....
    https://exploit.in/modules.php?name=news&file=view&news_id=6950
     
  6. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    В первых строках читаем:
    Code:
    В процессе установки считывает линк:
    Каков механизм установки? Пользователь устанавливает?


    Про роутеры там обычно web уязвимости.
     
    #6 -bI-, 14 Jun 2014
    Last edited: 14 Jun 2014
  7. Spektr

    Spektr New Member

    Joined:
    7 Dec 2006
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Флеш-плеер :)
    http://www.securitylab.ru/vulnerability/452342.php
    Или хром
    http://www.securitylab.ru/vulnerability/452306.php
     
  8. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Это еще, на мой взгляд, одно подтверждение, что антивирус не поможет, по этим ссылкам, советуют обновиться для исправления уязвимостей.
     
  9. NekoKoneko

    NekoKoneko Elder - Старейшина

    Joined:
    29 Oct 2010
    Messages:
    176
    Likes Received:
    141
    Reputations:
    20
    Это не классические вирусы для десктопных пека, там их по-прежнему нет. Это больше боты для схемы "опубликовали заткнутую дыру\появился 0-day -> сделали сканер уязвимости -> массово просканили -> втюхали тем, кто не обновился и торчит голым задом в сеть".
    Через которые можно выполнять свой код, поскольку часто роутеры имеют подобие консоли в веб-морде. На обычных роутерах разделения пользователей нет вообще, все работает от рута всегда...
     
  10. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Предлагаю не смешивать, теплое с мягким и не делать выводы из обобщенных выражений. Я исхожу из резюме
    т.е. этот вирус уже "обсосали" и это уже не 0-day, по вашему лучше установить Dr.Web и не париться с обновлениями системы? Пусть он жрет ресурсы системы, плевать, что это может быть широко открытыми воротами в вашу систему и вам за это, еще придется заплатить.

    Про роутеры с Dr.Web пока не слышал, они и так тормозят со всякими PPTP и L2TP, с антивирусом, наверняка впадут в анабиоз.
     
  11. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Так оно ведь все выполняется от юзера
     
  12. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Что "оно" и на чем выполняется?
     
  13. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Флеш, хром. на линуксе.
     
  14. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Да, согласен, Adobe Flash, Google Chrome выполняются на Linux.
     
Loading...