Analitycy bezpieczeństwa firmy antywirusowej Doctor Web przebadali złożony, wielozadaniowy backdoor dla Linuxa. Ten złośliwy program może wykonywać liczne polecenia cyberprzestępców, na przykład przeprowadzać ataki DDoS, jak również wykonywać szeroki zakres innych złośliwych zadań.
Aby rozprzestrzenić nowy backdoor dla Linuxa, o nazwie Linux.BackDoor.Xnote.1, przestępcy przeprowadzają atak „brute force”, aby nawiązać połączenie SSH z docelową maszyną. Analitycy bezpieczeństwa Doctor Web przypuszczają, że stoi za tym chińska grupa hakerów ChinaZ.
Kiedy Linux.BackDoor.Xnote.1 dostanie się do maszyny, sprawdza czy jego kopia działa już w zainfekowanym systemie. Jeśli tak, to backdoor przerywa swoją instalację. Złośliwy program zostanie zainstalowany w systemie wówczas, gdy został uruchomiony z uprawnieniami głównego administratora (root). Podczas instalacji, złośliwy program tworzy swoją kopię w katalogu /bin/ w formie pliku o nazwie iptable6. Następnie usuwa oryginalny plik, który został wykorzystany do uruchomienia wirusa. Linux.BackDoor.Xnote.1 wyszukuje także w katalogu /etc/init.d/ skrypt, który zaczyna się linią "#!/bin/bash" i dodaje do niej kolejną linię, tak aby backdoor mógł być uruchomiony automatycznie.
Program wykorzystuje następującą procedurę do wymiany danych z serwerem zarządzającym przestępców. Aby uzyskać dane konfiguracyjne, backdoor szuka specjalnego wpisu w swoim kodzie — wpis wskazuje na początek zaszyfrowanego bloku konfiguracyjnego, a następnie odszyfrowuje go i zaczyna wysyłać zapytania do serwerów zarządzających z posiadanej listy, do momentu, aż znajdzie serwer odpowiadający na zapytanie, albo aż lista się skończy. Zarówno backdoor jak i serwer wykorzystują bibliotekę zlib do kompresowania pakietów, które wymieniają między sobą.
Najpierw Linux.BackDoor.Xnote.1 wysyła informacje o zainfekowanym systemie do serwera. Przechodzi on wtedy w stan gotowości i czeka na dalsze instrukcje. Jeżeli polecenie obejmuje przeprowadzenie jakiegoś zadania, backdoor tworzy oddzielny proces, który nawiązuje własne połączenie z serwerem, dzięki czemu pozyskuje wszystkie niezbędne dane konfiguracyjne i wysyła wyniki wykonanego zadania.
Stąd, w momencie otrzymania polecenia, Linux.BackDoor.Xnote.1 może przypisać unikalne ID do zainfekowanej maszyny, rozpocząć atak DDoS na zdalnym hoście z określonym adresem (może przeprowadzać ataki SYN Flood, UDP Flood, HTTP Flood oraz NTP Amplification), zatrzymać atak, zaktualizować swój plik wykonywalny, wpisać dane do pliku, lub usunąć się z systemu. Backdoor potrafi także wykonywać wiele działań na plikach. Otrzymując odpowiednie polecenie, Linux.BackDoor.Xnote.1 wysyła informacje o systemie plików zainfekowanego komputera (całkowitej liczbie bloków danych w systemie plików oraz liczbie wolnych bloków) do serwera i czeka na inne polecenia, które mogą obejmować:
Wylistowanie plików i katalogów wewnątrz określonego katalogu.
Wysyłanie danych o rozmiarach katalogów do serwera.
Tworzenie pliku, w którym mogą być gromadzone otrzymane dane.
Przyjęcie pliku.
Wysyłanie pliku do serwera zarządzającego (C&C).
Usuwanie pliku.
Usuwanie katalogu.
Sygnalizowanie serwerowi gotowości przyjęcia pliku.
Tworzenie katalogu.
Zmianę nazwy pliku.
Uruchamianie pliku.
Poza tym, backdoor potrafi uruchomić proces powłoki (shell) z określonymi zmiennymi środowiskowymi i udzielić serwerowi C&C dostępu do tej powłoki, uruchomić proxy typu SOCKS na zainfekowanym komputerze, lub uruchomić swoją własną implementację na serwerze portmap.
Sygnatura tego złośliwego programu została dodana do bazy wirusów Dr.Web, dlatego systemy chronione Antywirusem Dr.Web dla Linuxa nie są narażone na działanie nowego backdoora.
źródło: Dr.Web
News Internet satelitarny Starlink dla firm - stabilne połączenie w każdych warunkach
W dzisiejszym świecie cyfrowym szybki i stabilny internet to fundament każdej nowoczesnej firmy. Bez względu na lokalizację, branżę czy skalę działalności – dostęp do niezawodnej sieci wpływa na efektywność pracy, bezpieczeństwo danych i jakość obsługi klientów. Internet Starlink dla firm to innowacyjne rozwiązanie satelitarne, które zapewnia łączność nawet w najbardziej odległych miejscach. Dowiedz się, dlaczego warto w niego zainwestować. czytaj więcej
News Co oferują najnowsze Apple Watch i czy warto któryś kupić?
Najnowsze modele Apple Watch, które znajdziesz na rynku, to przede wszystkim Apple Watch Series 10, Apple Watch Ultra 2 oraz Apple Watch SE, będący najbardziej przystępną cenowo opcją. Każdy z nich oferuje unikalne cechy, które warto rozważyć przed zakupem. Przyjrzyjmy się ich zaletom oraz przeznaczeniu. czytaj więcej
News Kiedy warto wybrać pakiet Microsoft 365 Apps for business?
W dobie cyfrowej transformacji oraz rosnącej potrzeby pracy zdalnej i efektywnej współpracy, wybór odpowiednich narzędzi IT staje się istotny dla sprawnego funkcjonowania każdej firmy. Pakiet Microsoft 365 Apps for business to jedno z najbardziej popularnych i sprawdzonych rozwiązań dostępnych na rynku, które oferuje zestaw klasycznych aplikacji biurowych w nowoczesnej formule subskrypcyjnej. czytaj więcej
