Опасный Linux

 
 0

Опубликовано: 25 марта 18:21

 

Пока пользователи клеймят позором Microsoft с его провальной восьмеркой, специалисты отмечают увеличение вредоносных программ, предназначенных для компьютеров под управлением Linux. В первую очередь злоумышленников интересуют веб-сервера под управлением этой операционной системы.

Основная цель авторов вирусов для линукс-серверов в том, чтобы перенаправить посетителей сайта на связку с эксплойтами (это программы или последовательность команд, которые используют уязвимости в ПО и применяются для проведения атак на вычислительную систему). В самых простых случаях злоумышленники изменяют содержимое страниц на сайтах скомпрометированного сервера. К примеру, вставляют в содержимое страницы вредоносный код. В этом случае сотни абсолютно нормальных и проверенных сайтов вдруг оказываются небезопасными благодаря тому, что хостер словил вредоносную программу на своем веб-сервере. А это уже неприятность не только для пользователей, которые рискуют подхватить вирус на свой ПК, но и для владельцев сайта, потому как, уличив тот или иной сайт в распространении вредоносных программ, поисковые системы могут оперативно исключить такие сайты из своих индексов, что влечет за собой уже реальные финансовые потери, если заблокированный сайт ориентировался на трафик из поисковым систем.

Но вернемся к сегодняшней теме. Описанный выше подход заражения веб-серверов имеет ряд недостатков для злоумышленников. Во-первых, модификацию веб-содержимого на сервере легко обнаружить, к тому же для этих целей существуют специальные инструменты. Во-вторых, сервер начинает раздавать измененные страницы сайтов абсолютно всем их посетителям без какой-либо фильтрации, в том числе различным конторам, которые могут отметить сайт как вредоносный. Злоумышленники же хотят оставаться незамеченными как можно дольше, именно поэтому начали появляться новые хитроумные вредоносные программы под ОС Linux.

В качестве примера рассмотрим один из крутых бекдоров - Linux/Cdorked.A. Для тех, кто не знает, что такое бекдор, даем справку – это так называемый черный ход в зараженную систему. Такую программу хакер устанавливает на взломанную им ОС, для того чтобы впоследствии иметь возможность быстро и незаметно  подключаться к этой системе без необходимости повторного взлома.  Впервые Linux/Cdorked.A обнаружили и исследовали специалисты ESET совместно с компанией Sucuri в апреле 2013 года. Основное предназначение этого бекдора — перенаправлять трафик на вредоносные сайты. Так, один из обнаруженных серверов перенаправлял пользователей на широко известный набор эксплойтов Blackhole. Кстати, автор этого эксплойта, под ником “Paunch”, был арестован осенью прошлого года.

Linux/Cdorked.A  маскируется под обычный исполняемый файл веб-сервера, однако помимо обычной функциональности в него добавлена функциональность бэкдора. Злоумышленники производят подмену легального файла на файл с бэкдором. В большинстве случаев для того, чтобы произвести такую замену, необходимы права администратора, но способ проникновения на сервер и метод получения такого уровня доступа злоумышленниками пока точно неизвестен. Возможно, для каждого зараженного сервера использовалась своя тактика, была ли это брешь в cPanel или же обычная компрометация логина и пароля — сказать трудно. Достоверно известно, что Linux/Cdorked.A не имеет механизмов самораспространения, а также не использует уязвимости в ПО на сервере для своей установки.

Всего было выявлено более 400 зараженных веб-серверов, 50 из которых осуществляют хостинг для веб-сайтов, входящих в ТОП 100,000 самых популярных веб-сайтов мира. Бэкдор использует дополнительные механизмы для обеспечения своей скрытности. Он не будет осуществлять перенаправление пользователей, если IP-адрес клиента находится в диапазоне адресов, указанных в черном списке. Этот черный список является довольно большим и включает в себя адреса, принадлежащие таким странам как Япония, Финляндия, Россия, Украина, Казахстан и Белоруссия. Фактически злоумышленники специально ограничили географию распространения бэкдора, поскольку бесконтрольное заражение пользователей могло бы отрицательно сказаться на поддержании уже скомпрометированных серверов и наведение лишних подозрений. Комбинация белых и черных списков для различных параметров клиентов дает злоумышленникам возможность довольно четко указать критерии посетителей сайтов, которых нужно перенаправлять на зараженную страницу. Также бэкдор хранит IP-адреса уже перенаправленных клиентов вместе со временем перенаправления, для того чтобы избежать повторного перенаправления в короткий промежуток времени. При этом ни одна из этих настроек не хранится в файле на диске, т.к. это могло бы выдать бекдор из-за создания подозрительной активности. Модификация каждой настройки выполняется через специальные HTTP-запросы, обрабатываемые бэкдором. Всю конфигурацию бэкдор хранит в специальном участке общей памяти размером в 6 Мб. Доступ к этому участку имеют все дочерние процессы веб-сервера, а также другие процессы в системе

В результате работы этого вредоносного ПО, чаще всего производилась переадресация пользователей на порнографические сайты и устанавливалась троянская программа Win32/Glupteba.G.

Как мы с вами видим, злоумышленники не дремлют. Согласно последнему отчету ИБ-компании PandaLabs, в прошлом году было создано рекордное число совершенного нового вредоносного ПО. Так, новые вирусы, появившиеся в 2013 году, составляют 20% от их общего количества (30 млн образцов). И в этой связи мы не устаем повторять – своевременно обновляйте свой браузер, все его расширения, операционную системы, а также такое критичное ПО как Java, Adobe Reader и Flash Player. Использование антивируса также является хорошей практикой. Будьте бдительны и оставайтесь с нами. Будет интересно.


Лев Давыдов aka SaDLer

Оставьте сообщение

Имя:

Комментарий:


 
 
Программное обеспечение для бизнеса
Корзина пуста

+7 (499) 381-68-71