Многокомпонентный троянец для Linux
По сообщению компании «Доктор Веб», ее специалисты исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой. Первые атаки с применением троянца семейства Linux.LuaBot специалисты «Доктор Веб» фиксировали еще в декабре 2016 г. Троянец непрерывно эволюционирует с ноября 2016 г., и новые версии Linux.LuaBot появляются регулярно. Все представители семейства написаны на скриптовом языке Lua.
Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k, т.е. не только компьютеры, но и широкий ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов. При этом экспертам не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет определять эту архитектуру, но реально существующих модулей для нее не выявлено.
Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, которые используются для взлома сетевых узлов, умеют определять архитектуру атакуемого устройства и имеют специальный механизм для детектирования «ханипотов» (от honeypot, «горшочек с медом») – серверов, играющих роль приманки для злоумышленников. С помощью «ханипотов» специалисты по ИБ изучают методики атак и инструментарий злоумышленников. При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. Если удалось получить доступ к устройству, скрипт устанавливает на него троянца Linux.LuaBot соответствующей архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль, который, запустившись, скачивает самого троянца, при атаке по протоколу SSH троянец загружается сразу.
Один из модулей Linux.LuaBot представляет собой полноценный Web-сервер, работающий по протоколу HTTP. Сервер может сохранить на инфицированном устройстве и выполнить приложение, передать по запросу файл из своей директории и сообщать информацию о версии троянца. Отметим, что в майской версии Linux.LuaBot злоумышленники убрали функцию передачи данных о зараженном устройстве.
Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает еще один скрипт. При этом принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях троянца.
Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троянец фактически является бэкдором, т. е. способен выполнять поступающие от злоумышленников команды. Кроме того, ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в Интернете.
Специалистам «Доктор Веб» известно несколько модификаций Linux.LuaBot, отличающихся набором функций и архитектурными особенностями. Антивирус Dr.Web детектирует все имеющиеся на сегодня образцы Linux.LuaBot. Как отмечают в компании, вредоносные программы для ОС семейства Linux не столь распространены по сравнению с Windows-троянцами, тем не менее они представляют серьезную угрозу для пользователей.