Analitycy bezpieczeństwa firmy antywirusowej Doctor Web przebadali złożony, wielozadaniowy backdoor dla Linuxa. Ten złośliwy program może wykonywać liczne polecenia cyberprzestępców, na przykład przeprowadzać ataki DDoS, jak również wykonywać szeroki zakres innych złośliwych zadań.
Aby rozprzestrzenić nowy backdoor dla Linuxa, o nazwie Linux.BackDoor.Xnote.1, przestępcy przeprowadzają atak „brute force”, aby nawiązać połączenie SSH z docelową maszyną. Analitycy bezpieczeństwa Doctor Web przypuszczają, że stoi za tym chińska grupa hakerów ChinaZ.
Kiedy Linux.BackDoor.Xnote.1 dostanie się do maszyny, sprawdza czy jego kopia działa już w zainfekowanym systemie. Jeśli tak, to backdoor przerywa swoją instalację. Złośliwy program zostanie zainstalowany w systemie wówczas, gdy został uruchomiony z uprawnieniami głównego administratora (root). Podczas instalacji, złośliwy program tworzy swoją kopię w katalogu /bin/ w formie pliku o nazwie iptable6. Następnie usuwa oryginalny plik, który został wykorzystany do uruchomienia wirusa. Linux.BackDoor.Xnote.1 wyszukuje także w katalogu /etc/init.d/ skrypt, który zaczyna się linią "#!/bin/bash" i dodaje do niej kolejną linię, tak aby backdoor mógł być uruchomiony automatycznie.
Program wykorzystuje następującą procedurę do wymiany danych z serwerem zarządzającym przestępców. Aby uzyskać dane konfiguracyjne, backdoor szuka specjalnego wpisu w swoim kodzie — wpis wskazuje na początek zaszyfrowanego bloku konfiguracyjnego, a następnie odszyfrowuje go i zaczyna wysyłać zapytania do serwerów zarządzających z posiadanej listy, do momentu, aż znajdzie serwer odpowiadający na zapytanie, albo aż lista się skończy. Zarówno backdoor jak i serwer wykorzystują bibliotekę zlib do kompresowania pakietów, które wymieniają między sobą.
Najpierw Linux.BackDoor.Xnote.1 wysyła informacje o zainfekowanym systemie do serwera. Przechodzi on wtedy w stan gotowości i czeka na dalsze instrukcje. Jeżeli polecenie obejmuje przeprowadzenie jakiegoś zadania, backdoor tworzy oddzielny proces, który nawiązuje własne połączenie z serwerem, dzięki czemu pozyskuje wszystkie niezbędne dane konfiguracyjne i wysyła wyniki wykonanego zadania.
Stąd, w momencie otrzymania polecenia, Linux.BackDoor.Xnote.1 może przypisać unikalne ID do zainfekowanej maszyny, rozpocząć atak DDoS na zdalnym hoście z określonym adresem (może przeprowadzać ataki SYN Flood, UDP Flood, HTTP Flood oraz NTP Amplification), zatrzymać atak, zaktualizować swój plik wykonywalny, wpisać dane do pliku, lub usunąć się z systemu. Backdoor potrafi także wykonywać wiele działań na plikach. Otrzymując odpowiednie polecenie, Linux.BackDoor.Xnote.1 wysyła informacje o systemie plików zainfekowanego komputera (całkowitej liczbie bloków danych w systemie plików oraz liczbie wolnych bloków) do serwera i czeka na inne polecenia, które mogą obejmować:
Wylistowanie plików i katalogów wewnątrz określonego katalogu.
Wysyłanie danych o rozmiarach katalogów do serwera.
Tworzenie pliku, w którym mogą być gromadzone otrzymane dane.
Przyjęcie pliku.
Wysyłanie pliku do serwera zarządzającego (C&C).
Usuwanie pliku.
Usuwanie katalogu.
Sygnalizowanie serwerowi gotowości przyjęcia pliku.
Tworzenie katalogu.
Zmianę nazwy pliku.
Uruchamianie pliku.
Poza tym, backdoor potrafi uruchomić proces powłoki (shell) z określonymi zmiennymi środowiskowymi i udzielić serwerowi C&C dostępu do tej powłoki, uruchomić proxy typu SOCKS na zainfekowanym komputerze, lub uruchomić swoją własną implementację na serwerze portmap.
Sygnatura tego złośliwego programu została dodana do bazy wirusów Dr.Web, dlatego systemy chronione Antywirusem Dr.Web dla Linuxa nie są narażone na działanie nowego backdoora.
źródło: Dr.Web
News Jak wykorzystać Custom GPT for Business?
Chcesz w swojej firmie wprowadzić niestandardowy custom GPT for business? Rozwiązanie w dziedzinie sztucznej inteligencji mogą przyczynić się do efektywniejszego realizowania procesów w przedsiębiorstwie. Zerknij poniżej!1. Czym jest custom GPT for business?
2. Gdzie wykorzystać niestandardowego GPT?
3. Wypróbuj opcję tworzenia własnych niestandardowych chatbotów AI!
Dowiedz się, jak firmy takie jak możesz stworzyć i wdrożyć te zaawansowane technologie, aby napędzać innowacje i rozwój. czytaj więcej
News Jak wybrać internet światłowodowy do domu?
Szybkie i stabilne połączenie stało się niezbędne w dzisiejszym, cyfrowym świecie, umożliwiając płynną pracę zdalną, rozrywkę na najwyższym poziomie oraz efektywną komunikację. Zapoznaj się z naszym kompleksowym przewodnikiem, aby dokonać świadomego wyboru spośród ofert wiodących operatorów i cieszyć się niezawodnym internetem światłowodowym dostosowanym do Twoich potrzeb. czytaj więcej
Wiadomości firmowe CEEcloud Services Distribution (Grupa Bakotech) ogłasza nawiązanie współpracy z Kaseya
Na początku kwietnia CEEcloud, spółka należąca do Grupy Bakotech, ogłosiła podpisanie kontraktu z firmą Kaseya – od wielu lat uznawaną za lidera w obszarze kompleksowych rozwiązań IT. To kolejny, bardzo ważny krok dla dystrybutora, podkreślający jego zaangażowanie w konsekwentne rozwijanie oferty usług, które umożliwiają efektywne zarządzanie IT i bezpieczeństwem z jednego miejsca – co w dzisiejszych czasach staje się nie tylko praktyczne, ale wręcz niezbędne. czytaj więcej
