DDoS-троянцы для атак на Linux

Как сообщила компания «Доктор Веб», в мае ее специалисты выявили и исследовали рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux, значительная часть которых предназначена для организации DDoS-атак. Распространенное мнение о том, что ОС на базе ядра Linux в силу особенностей своей архитектуры защищены от проникновения вредоносных программ, заметно облегчает жизнь злоумышленникам, распространяющим подобное ПО.

Изученные троянские программы имеют общие черты: во-первых, они предназначены для организации DDoS-атак с использованием различных протоколов, а во-вторых, по косвенным признакам можно сделать вывод о том, что большинство из них создано одним и тем же автором.

Вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.DDoS.3, обладает достаточно широким спектром возможностей. После запуска троянец определяет адрес командного сервера и отправляет на него информацию об инфицированной системе, а затем ожидает получения конфигурационных данных с параметрами текущей задачи (отчет о ее выполнении также впоследствии отправляется злоумышленникам). Linux.DDoS.3 позволяет организовать DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification).

Модификация той же угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Троянец Linux.DDoS.24 устанавливается в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска он также собирает сведения об аппаратной конфигурации инфицированного компьютера – в том числе о типе процессора и объеме памяти – и отправляет ее в зашифрованном виде на принадлежащий киберпреступникам управляющий сервер. Основное предназначение этой вредоносной программы – DDoS-атаки по команде с удаленного узла.

Еще одна группа угроз для ОС Linux, исследованных специалистами «Доктор Веб», включает пять троянцев семейства Linux.DnsAmp. Некоторые программы этого семейства используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. ПО Linux.DnsAmp регистрирует себя в автозагрузке, собирает и отправляет на удаленный сервер сведения о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша и т. д.), после чего ожидает поступления управляющих команд. Среди возможностей данного класса троянцев необходимо отметить следующие:

• SYN Flood (отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы);
• UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1000 сообщений);
• Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
• отправка запросов на серверы DNS (DNS Amplification);
• отправка запросов на серверы NTP (NTP Amplification – в ранних версиях троянца функция реализована, но не используется).

По команде с удаленного сервера Linux.DnsAmp также может записать информацию в файл журнала, повторить атаку или обновиться.

Троянцы Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных дистрибутивов) представляют собой модификации первой версии Linux.DnsAmp с предельно упрощенной системой команд. Фактически эти реализации троянца могут выполнять только три директивы управляющего сервера: начать DDoS-атаку, остановить атаку и записать данные в файл журнала. Многие из перечисленных вредоносных программ используют одни и те же управляющие серверы.

Наконец, вредоносная программа для ARM-совместимых дистрибутивов Linux, с именем Linux.Mrblack, предназначена для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP. Троянец имеет довольно примитивную архитектуру и также действует по команде с управляющего сервера.

Командные центры, управляющие описанными троянскими программами, располагаются преимущественно на территории Китая, и реализованные с их помощью DDoS-атаки направлены в основном против китайских Интернет-ресурсов. Все перечисленные вредоносные приложения детектируются и удаляются «Антивирусом Dr.Web для Linux».