Byte/RE ИТ-издание

Новости

Новые троянцы для Linux – BackDoor.Gates

Безопасность
--> 72

По сообщению компании «Доктор Веб», в мае нынешнего года ее специалисты обнаружили рекордное по сравнению с предыдущими месяцами число вредоносных программ для Linux – вопреки распространенному мнению о том, что для ОС на базе ядра Linux сегодня не существует серьезных угроз. А в июне этот список пополнился новыми представителями Linux-троянцев, получивших общее название Linux.BackDoor.Gates.

Программы семейства Linux.BackDoor.Gates сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторы создавали и троянцев семейств Linux.DnsAmp и Linux.DDoS.

Один из представителей этого семейства, Linux.BackDoor.Gates.5 состоит из двух функциональных модулей: основной представляет собой бэкдор, способный выполнять поступающие от злоумышленников команды, второй, сохраняемый на диск основным модулем в процессе установки троянца, предназначен для DDoS-атак. В ходе своей работы программа собирает и передает злоумышленникам следующую информацию об инфицированном компьютере:

  • количество ядер CPU (читает из /proc/cpuinfo);
  • скорость CPU (из /proc/cpuinfo);
  • использование CPU (из /proc/stat);
  • IP Gate (из /proc/net/route);
  • MAC-адрес Gate (из /proc/net/arp);
  • информацию о сетевых интерфейсах (из /proc/net/dev);
  • MAC-адрес сетевого устройства;
  • объем памяти (используется параметр MemTotal из /proc/meminfo);
  • объем переданных и полученных данных (из /proc/net/dev);
  • название и версию ОС (с помощью вызова команды uname).

После запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен, и в зависимости от полученного результата может реализовать четыре модели поведения.

Если путь расположения исполняемого файла бэкдора отличен от путей утилит netstat, lsof, ps, то троянец запускает себя в системе как демон, после чего начинает процедуру инициализации, в процессе которой расшифровывает из своего тела конфигурационный файл. Этот файл содержит данные, необходимые для работы троянца, такие как IP-адрес и порт управляющего сервера, параметры установки бэкдора.

В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле троянец либо самостоятельно соединяется с управляющим сервером, либо ожидает входящего соединения – после его успешной установки бэкдор проверяет IP-адрес обращающегося к нему узла и работает с ним, как с командным сервером.

В процессе установки троянец проверяет файл /tmp/moni.lock, и если он не пустой, читает записанное в него значение (PID процесса) и «убивает» процесс с таким ID. Затем Linux.BackDoor.Gates.5 проверяет, запущен ли в системе DDoS-модуль и собственный процесс бэкдора (если они запущены, эти процессы также убиваются). Если в файле конфигурации установлен специальный флаг g_iIsService, то троянец прописывает себя в автозагрузку.

Если в конфигурационном файле установлен флаг g_bDoBackdoor, троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty и запускает. На финальном этапе установки Linux.BackDoor.Gates.5 создает еще одну собственную копию в папке /usr/bin/ с именем, записанным в конфигурационном файле, а также замещает собой ряд утилит. На этом процесс установки троянца завершается и вызывается функция для выполнения его основных задач.

В случае использования двух других алгоритмов поведения троянец также стартует на инфицированном компьютере как демон, проверяет, запущены ли его компоненты, путем чтения соответствующего .lock-файла (если нет, запускает их), однако использует разные имена для сохранения файлов и регистрации себя в автозагрузке.

Установив связь с командным сервером, Linux.BackDoor.Gates.5 получает от него конфигурационные данные с заданием, которое должен выполнить бот. По команде злоумышленников троянец способен провести автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом, выполнить команду из блока конфигурационных данных или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес.

Основная цель DDoS-атак с помощью этого бэкдора – китайские серверы, однако среди избранных злоумышленниками целей встречаются и другие страны.

Вредоносная программа Linux.BackDoor.Gates.5 внесена в вирусные базы Dr.Web.

Вам также могут понравиться

«Флант» вошел в топ-15 крупнейших разработчиков банковской отрасли

Вышла новая версия платформы видеоконференций IVA MCU

АРАТ и Корпорация развития Зеленограда объявили о сотрудничестве в области развития…

Рексофт и Skyeer договорились о сотрудничестве в области Drone as a Service

Первый детский телефон Elari GamePhone уже в продаже

8 ноября в Москве прошла презентация результатов исследования «Цифровая зрелость…