Троянцы для операционных систем семейства Linux распространены не столь широко, как вредоносные программы, ориентированные на заражение других операционных систем, однако вирусным аналитикам компании «Доктор Веб» время от времени все же приходится знакомиться с новыми представителями данной категории опасных приложений. Одним из них стал троянец Linux.Ellipsis.1, отличающийся весьма параноидальным поведением на зараженном компьютере.
Linux.Ellipsis.1 был разработан злоумышленниками для создания на атакованной машине прокси-сервера, однако этот образец отличается от других вредоносных программ для ОС Linux весьма своеобразным поведением, которое специалисты компании «Доктор Веб» назвали «параноидальным». На сегодняшний день достоверно известно, что киберпреступники используют прокси-сервер в целях обеспечения собственной анонимности для доступа к устройствам, взломанным при помощи другой вредоносной программы, — Linux.Ellipsis.2. В целом применяемая киберпреступниками схема атаки выглядит так: при помощи троянца Linux.Ellipsis.2 они получают несанкционированный доступ по протоколу SSH к какому-либо сетевому устройству или компьютеру, а затем используют этот доступ в различных противоправных целях, сохраняя анонимность посредством Linux.Ellipsis.1.
После запуска на инфицированном ПК Linux.Ellipsis.1 удаляет свой рабочий каталог и очищает список правил для iptables, а затем пытается завершить ряд работающих приложений, в первую очередь — программы для ведения и просмотра логов, а также анализа трафика. После этого троянец удаляет существующие директории и файлы системных журналов и создает на их месте папки с соответствующими именами. Тем самым блокируется возможность создания логов с такими именами в будущем.
На следующем этапе троянец Linux.Ellipsis.1 модифицирует конфигурационный файл "/etc/coyote/coyote.conf" таким образом, чтобы он содержал строку: alias passwd=cat\n. Затем он удаляет ряд системных утилит из каталогов /bin/, /sbin/, /usr/bin/, добавляет атрибут «неизменяемый» (immutable) к некоторым необходимым для его дальнейшей работы файлам и блокирует IP-адреса подсетей, указанные в переданной троянцу команде или перечисленные в его конфигурационном файле. При этом под «блокировкой» понимается предотвращение приема или передачи пакетов информации с/на определенный IP-адрес по заданному порту или протоколу с помощью создания соответствующих правил iptables.
Как уже упоминалось ранее, основное предназначение Linux.Ellipsis.1 заключается в организации на инфицированном компьютере прокси-сервера. Для этой цели троянец контролирует соединения по заданному локальному адресу и порту, проксируя весь транслируемый через этот адрес и порт трафик.
Для вредоносной программы Linux.Ellipsis.1 характерно весьма необычное поведение: троянец имеет довольно обширный список характерных строк, обнаруживая которые в сетевом трафике он блокирует обмен данными с соответствующим удаленным сервером по IP-адресу. Список запрещенных слов также имеет вариативную часть, которая зависит от содержимого входного пакета. Например, если поступающий на зараженную машину пакет данных содержит строку «User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)», то в список добавляются значения «eapmygev.» и «ascuviej.». Кроме того, в своей работе Linux.Ellipsis.1 использует список подозрительных и игнорируемых слов.
«Параноидальность» поведения Linux.Ellipsis.1 заключается еще и в том, что помимо блокировки удаленных узлов по адресам из заложенного в него списка троянец проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес узла, с которым установлено соединение. Если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес с помощью iptables. В своем домашнем каталоге Linux.Ellipsis.1 создает файл с именем "ip.filtered", где вместо "ip" подставляется строчное представление заблокированного IP-адреса. Аналогичная проверка производится для процессов, имеющих в имени строку "sshd". IP-адреса из списков блокируются навсегда, в то время как все остальные — на 2 часа: отдельный процесс троянца раз в полчаса проверяет содержимое собственного домашнего каталога и ищет там файлы, созданные более двух часов назад, имя которых начинается с IP-адреса, после чего удаляет их и соответствующее правило в таблице iptables.
Вскоре после обнаружения описанной выше вредоносной программы специалисты компании «Доктор Веб» выявили троянца Linux.Ellipsis.2, являющегося, судя по ряду характерных признаков, творением того же самого автора и предназначенного для подбора паролей методом грубой силы (брутфорс). Аналогично Linux.Ellipsis.1, этот троянец в процессе своей работы очищает список правил для iptables и удаляет «мешающие» ему приложения, создает папки, предотвращающие возможность ведения операционной системой файлов журналов, и обращается за получением задания к управляющему серверу, адрес которого он принимает в качестве входного аргумента при запуске. Количество потоков сканирования и ssh-подключений Linux.Ellipsis.2 автоматически вычисляет на основе данных о частоте процессора зараженной машины.
Получаемое троянцем с управляющего сервера задание содержит IP-адрес подсети, которую вредоносная программа сканирует на наличие устройств с открытым SSH-подключением на порту 22. При обнаружении таких устройств троянец пытается получить к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а в случае успеха отправляет сообщение об этом на сервер злоумышленников.
Последние новости
- Технологии | 20 декабря, 14:45
Германия передала Украине еще одну ЗРК IRIS-T SLM — Шольц - Бизнес | 20 декабря, 14:15
Испанцам официально разрешат меньше работать - Безопасность | 20 декабря, 13:45
В ближайшие дни США объявят о новом пакете помощи Украине — Reuters - Безопасность | 20 декабря, 13:15
В США истребили крупнейших в мире "шершней-убийц" - Бизнес | 20 декабря, 12:45
Різдвяний розпродаж гаджетів ОРРО розпочався - Бизнес | 20 декабря, 12:15
Байрактар: Турция - мировой лидер на рынке дронов - Интернет | 20 декабря, 12:02
Чому арбітражники обирають клоакінг: огляд популярних сервісів - Бизнес | 20 декабря, 11:45
Працівники Amazon у США готуються до страйку - Связь | 20 декабря, 11:35
Швидкі SSD VDS у Польщі для оптимізації Вашого бізнесу!
Последние материалы
- Фотогалереи | 20 декабря, 23:17
БПЛА РФ знову атакували "Розетка" - Фотогалереи | 20 декабря, 12:48
Незвичайний мод на базі Dark Base Pro 901 White та Silent Loop 200 - Обзоры | 16 декабря, 12:52
be quiet! Pure Base 500DX – ARBG-корпус для прогресивного ПК - Обзоры | 7 декабря, 21:00
ColorWay CW-STM01-24H - добовий таймер-розетка - Обзоры | 7 декабря, 19:59
Gelius Amazwatch Ultra GP-SW011 Titan – металевий корпус, цікавий функціонал та AMOLED-дисплей - Обзоры | 3 декабря, 22:34
Cougar Screamer-X – цей звук сподобається професіоналам - Обзоры | 29 ноября, 13:10
ColorWay CW-LD03 - світлодіодна LED-стрічка, що працює від повербанка - Фотогалереи | 27 ноября, 23:54
В канадской Альберте начался сезон "световых столбов" - Фотогалереи | 17 ноября, 19:41
Як виглядає аеропорт Луксор, Єгипет
Популярные новости
- Бизнес | 20 декабря, 12:45
Різдвяний розпродаж гаджетів ОРРО розпочався 5.00 - Технологии | 20 декабря, 14:45
Германия передала Украине еще одну ЗРК IRIS-T SLM — Шольц 0.00 - Бизнес | 20 декабря, 14:15
Испанцам официально разрешат меньше работать 0.00 - Безопасность | 20 декабря, 13:45
В ближайшие дни США объявят о новом пакете помощи Украине — Reuters 0.00 - Безопасность | 20 декабря, 13:15
В США истребили крупнейших в мире "шершней-убийц" 0.00 - Бизнес | 20 декабря, 12:15
Байрактар: Турция - мировой лидер на рынке дронов 0.00 - Интернет | 20 декабря, 12:02
Чому арбітражники обирають клоакінг: огляд популярних сервісів 0.00 - Бизнес | 20 декабря, 11:45
Працівники Amazon у США готуються до страйку 0.00 - Связь | 20 декабря, 11:35
Швидкі SSD VDS у Польщі для оптимізації Вашого бізнесу! 0.00