Новый бэкдор для Linux обладает широким функционалом
Специалисты компании «Доктор Веб» исследовали сложного многофункционального троянца, предназначенного для заражения ОС Linux. Данная вредоносная программа обладает возможностью выполнять различные команды, поступающие от злоумышленников, в том числе организовывать DDoS-атаки, а также реализует широкий спектр других функциональных возможностей.
Новая вредоносная программа для Linux, получившая наименование Linux.BackDoor.Xnote.1, распространяется аналогично некоторым другим троянцам для данной ОС: подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков компании «Доктор Веб» имеются основания полагать, что к созданию бэкдора приложили руку китайские злоумышленники из хакерской группы ChinaZ.
В первую очередь Linux.BackDoor.Xnote.1 проверяет, запущена ли в инфицированной системе другая копия троянца, и, если таковая обнаруживается, завершает свою работу. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root): в процессе инсталляции троянец создает свою копию в папке /bin/ в виде файла с именем iptable6 и удаляет исходный файл, из которого он был запущен. Также Linux.BackDoor.Xnote.1 ищет в папке /etc/init.d/ сценарии, начинающиеся со строки "!#/bin/bash", и добавляет после этой строки еще одну строку, обеспечивающую запуск бэкдора.
Для обмена данными с принадлежащим киберпреступникам управляющим сервером троянец использует следующий алгоритм. Для получения конфигурационных данных бэкдор ищет в своем теле специальную строку, указывающую на начало зашифрованного конфигурационного блока, затем расшифровывает его и начинает последовательный опрос управляющих серверов по списку, продолжающийся до тех пор, пока не будет обнаружен действующий или пока не закончится список. Перед передачей пакетов данный троянец и управляющий сервер сжимают их с использованием библиотеки zlib.
Сначала Linux.BackDoor.Xnote.1 отправляет на сервер злоумышленников информацию об инфицированной системе, затем троянец переходит в режим ожидания команд от удаленного сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создается отдельный процесс, устанавливающий собственное соединение с управляющим сервером, с использованием которого он получает все необходимые конфигурационные данные и отправляет результаты выполнения задачи.
Так, по команде злоумышленников Linux.BackDoor.Xnote.1 может назначить зараженной машине уникальный идентификатор, начать DDoS-атаку на удаленный узел с заданным адресом (среди возможных типов атак — SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя. Отдельный блок заданий троянец может выполнять с различными файловыми объектами. Получив соответствующую команду, Linux.BackDoor.Xnote.1 отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков данных в файловой системе, количество свободных блоков), после чего может выполнить следующие команды:
- перечислить файлы и каталоги внутри указанного каталога;
- отослать на сервер сведения о размере файла;
- создать файл, в который можно будет сохранить принимаемые данные;
- принять файл;
- отправить файл на управляющий сервер;
- удалить файл;
- удалить каталог;
- отправить управляющему серверу сигнал о готовности принять файл;
- создать каталог;
- переименовать файл;
- запустить файл.
Кроме того, троянец может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или запустить собственную реализацию сервера portmap.
Сигнатура данной вредоносной программы добавлена в вирусную базу Dr.Web, и потому пользователи Антивируса Dr.Web для Linux защищены от действия этого троянца.