май    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

показать все 

24.04.2025

Может ли ИИ приготовить курицу под open sauce? Узнаем в новом выпуске «Инфобеза со вкусом»

Читать далее 

24.04.2025

DBI приглашает на вебинар по управлению МЧД в крупном корпоративном бизнесе

Читать далее 

11.04.2025

В России разработали первого ИИ-тестировщика

Читать далее 

11.04.2025

Новые ИТ-кадры для цифровой экономики: «Газинформсервис» делится опытом на СПЭК-2025

Читать далее 

31.03.2025

Международный конгресс «Суперкомпьютерные дни в России»

Читать далее 

показать все 

07.05.2025

Инвестиции в технологии – ключ к успеху: RANKS, проект IMPACT Capital, признан лучшей технологической компанией года

Читать далее 

06.05.2025

Светлана Иванова: «Техподдержка становится драйвером российских технологий в части СУБД»

Читать далее 

24.04.2025

Управление закупками и поставщиками через современные механизмы

Читать далее 

10.04.2025

Какой формат работы вы предпочитаете?

Читать далее 

10.04.2025

Будущее финансовых технологий и криптовалют

Читать далее 

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

показать все 

Главная / Новости партнеров / Троянец-параноик организует прокси-сервер в ОС Linux

Троянцы для операционных систем семейства Linux распространены не столь широко, как вредоносные программы, ориентированные на заражение других операционных систем, однако вирусным аналитикам компании «Доктор Веб» время от времени все же приходится знакомиться с новыми представителями данной категории опасных приложений. Одним из них стал троянец Linux.Ellipsis.1, отличающийся весьма параноидальным поведением на зараженном компьютере.

Linux.Ellipsis.1 был разработан злоумышленниками для создания на атакованной машине прокси-сервера, однако этот образец отличается от других вредоносных программ для ОС Linux весьма своеобразным поведением, которое специалисты компании «Доктор Веб» назвали «параноидальным». На сегодняшний день достоверно известно, что киберпреступники используют прокси-сервер в целях обеспечения собственной анонимности для доступа к устройствам, взломанным при помощи другой вредоносной программы, — Linux.Ellipsis.2. В целом применяемая киберпреступниками схема атаки выглядит так: при помощи троянцаLinux.Ellipsis.2 они получают несанкционированный доступ по протоколу SSH к какому-либо сетевому устройству или компьютеру, а затем используют этот доступ в различных противоправных целях, сохраняя анонимность посредствомLinux.Ellipsis.1.

Однако обо всем по порядку.

После запуска на инфицированном ПК Linux.Ellipsis.1 удаляет свой рабочий каталог и очищает список правил для iptables, а затем пытается завершить ряд работающих приложений, в первую очередь — программы для ведения и просмотра логов, а также анализа трафика. После этого троянец удаляет существующие директории и файлы системных журналов и создает на их месте папки с соответствующими именами. Тем самым блокируется возможность создания логов с такими именами в будущем.

На следующем этапе троянец Linux.Ellipsis.1 модифицирует конфигурационный файл "/etc/coyote/coyote.conf" таким образом, чтобы он содержал строку: alias passwd=cat\n. Затем он удаляет ряд системных утилит из каталогов /bin/, /sbin/, /usr/bin/, добавляет атрибут «неизменяемый» (immutable) к некоторым необходимым для его дальнейшей работы файлам и блокирует IP-адреса подсетей, указанные в переданной троянцу команде или перечисленные в его конфигурационном файле. При этом под «блокировкой» понимается предотвращение приема или передачи пакетов информации с/на определенный IP-адрес по заданному порту или протоколу с помощью создания соответствующих правил iptables.

Как уже упоминалось ранее, основное предназначение Linux.Ellipsis.1 заключается в организации на инфицированном компьютере прокси-сервера. Для этой цели троянец контролирует соединения по заданному локальному адресу и порту, проксируя весь транслируемый через этот адрес и порт трафик.

Для вредоносной программы Linux.Ellipsis.1 характерно весьма необычное поведение: троянец имеет довольно обширный список характерных строк, обнаруживая которые в сетевом трафике он блокирует обмен данными с соответствующим удаленным сервером по IP-адресу. Список запрещенных слов также имеет вариативную часть, которая зависит от содержимого входного пакета. Например, если поступающий на зараженную машину пакет данных содержит строку «User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)», то в список добавляются значения «eapmygev.» и «ascuviej.». Кроме того, в своей работеLinux.Ellipsis.1 использует список подозрительных и игнорируемых слов.

«Параноидальность» поведения Linux.Ellipsis.1 заключается еще и в том, что помимо блокировки удаленных узлов по адресам из заложенного в него списка троянец проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес узла, с которым установлено соединение. Если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес с помощью iptables. В своем домашнем каталоге Linux.Ellipsis.1 создает файл с именем "ip.filtered", где вместо "ip" подставляется строчное представление заблокированного IP-адреса. Аналогичная проверка производится для процессов, имеющих в имени строку "sshd". IP-адреса из списков блокируются навсегда, в то время как все остальные — на 2 часа: отдельный процесс троянца раз в полчаса проверяет содержимое собственного домашнего каталога и ищет там файлы, созданные более двух часов назад, имя которых начинается с IP-адреса, после чего удаляет их и соответствующее правило в таблице iptables.

Вскоре после обнаружения описанной выше вредоносной программы специалисты компании «Доктор Веб» выявили троянца Linux.Ellipsis.2, являющегося, судя по ряду характерных признаков, творением того же самого автора и предназначенного для подбора паролей методом грубой силы (брутфорс). АналогичноLinux.Ellipsis.1, этот троянец в процессе своей работы очищает список правил для iptables и удаляет «мешающие» ему приложения, создает папки, предотвращающие возможность ведения операционной системой файлов журналов, и обращается за получением задания к управляющему серверу, адрес которого он принимает в качестве входного аргумента при запуске. Количество потоков сканирования и ssh-подключений Linux.Ellipsis.2 автоматически вычисляет на основе данных о частоте процессора зараженной машины.

Получаемое троянцем с управляющего сервера задание содержит IP-адрес подсети, которую вредоносная программа сканирует на наличие устройств с открытым SSH-подключением на порту 22. При обнаружении таких устройств троянец пытается получить к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а в случае успеха отправляет сообщение об этом на сервер злоумышленников.

Сигнатуры перечисленнных вредоносных программ добавлены в вирусные базы, и потому они не представляют опасности для пользователей Антивируса Dr.Web.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи