Троян-«параноик» создает прокси-сервер в ОС Linux

Безопасность Пользователю Открытое ПО
мобильная версия
, Текст: Татьяна Короткова

Компания «Доктор Веб» обнаружила новый троян для операционных систем семейства Linux. Как сообщили CNews в «Доктор Веб», Linux.Ellipsis.1 был разработан злоумышленниками для создания на атакованной машине прокси-сервера, однако этот образец отличается от других вредоносных программ для ОС Linux весьма своеобразным поведением, которое специалисты компании назвали «параноидальным».

На сегодняшний день достоверно известно, что киберпреступники используют прокси-сервер в целях обеспечения собственной анонимности для доступа к устройствам, взломанным при помощи другой вредоносной программы — Linux.Ellipsis.2. В целом применяемая киберпреступниками схема атаки выглядит так: при помощи трояна Linux.Ellipsis.2 они получают несанкционированный доступ по протоколу SSH к какому-либо сетевому устройству или компьютеру, а затем используют этот доступ в различных противоправных целях, сохраняя анонимность посредством Linux.Ellipsis.1.

После запуска на инфицированном ПК Linux.Ellipsis.1 удаляет свой рабочий каталог и очищает список правил для iptables, а затем пытается завершить ряд работающих приложений, в первую очередь — программы для ведения и просмотра логов, а также анализа трафика. После этого троян удаляет существующие директории и файлы системных журналов и создает на их месте папки с соответствующими именами. Тем самым блокируется возможность создания логов с такими именами в будущем.

На следующем этапе Linux.Ellipsis.1 модифицирует конфигурационный файл «/etc/coyote/coyote.conf» таким образом, чтобы он содержал строку: alias passwd=cat\n. Затем он удаляет ряд системных утилит из каталогов /bin/, /sbin/, /usr/bin/, добавляет атрибут «неизменяемый» (immutable) к некоторым необходимым для его дальнейшей работы файлам и блокирует IP-адреса подсетей, указанные в переданной трояну команде или перечисленные в его конфигурационном файле. При этом под «блокировкой» понимается предотвращение приема или передачи пакетов информации с/на определенный IP-адрес по заданному порту или протоколу с помощью создания соответствующих правил iptables, рассказали в компании.

Как уже упоминалось ранее, основное предназначение Linux.Ellipsis.1 заключается в организации на инфицированном компьютере прокси-сервера. Для этой цели троян контролирует соединения по заданному локальному адресу и порту, проксируя весь транслируемый через этот адрес и порт трафик.

По словам вирусных аналитиков «Доктор Веб», для вредоносной программы Linux.Ellipsis.1 характерно весьма необычное поведение: троян имеет довольно обширный список характерных строк, обнаруживая которые в сетевом трафике он блокирует обмен данными с соответствующим удаленным сервером по IP-адресу. Список запрещенных слов также имеет вариативную часть, которая зависит от содержимого входного пакета. Например, если поступающий на зараженную машину пакет данных содержит строку «User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)», то в список добавляются значения «eapmygev.» и «ascuviej.». Кроме того, в своей работе Linux.Ellipsis.1 использует список подозрительных и игнорируемых слов.

«Параноидальность» поведения Linux.Ellipsis.1 заключается еще и в том, что, помимо блокировки удаленных узлов по адресам из заложенного в него списка, троян проверяет все сетевые подключения компьютера и отсылает на управляющий сервер IP-адрес узла, с которым установлено соединение. Если сервер отвечает командой «kill», троян прекращает работу приложения, которое установило соединение, а заодно блокирует этот IP-адрес с помощью iptables. В своем домашнем каталоге Linux.Ellipsis.1 создает файл с именем «ip.filtered», где вместо «ip» подставляется строчное представление заблокированного IP-адреса. Аналогичная проверка производится для процессов, имеющих в имени строку «sshd». IP-адреса из списков блокируются навсегда, в то время как все остальные — на 2 часа: отдельный процесс трояна раз в полчаса проверяет содержимое собственного домашнего каталога и ищет там файлы, созданные более двух часов назад, имя которых начинается с IP-адреса, после чего удаляет их и соответствующее правило в таблице iptables.

Вскоре после обнаружения описанной выше вредоносной программы специалисты «Доктор Веб» выявили трояна Linux.Ellipsis.2, являющегося, судя по ряду характерных признаков, творением того же самого автора и предназначенного для подбора паролей методом грубой силы («брутфорс»). Аналогично Linux.Ellipsis.1, этот троян в процессе своей работы очищает список правил для iptables и удаляет «мешающие» ему приложения, создает папки, предотвращающие возможность ведения операционной системой файлов журналов, и обращается за получением задания к управляющему серверу, адрес которого он принимает в качестве входного аргумента при запуске. Количество потоков сканирования и ssh-подключений Linux.Ellipsis.2 автоматически вычисляет на основе данных о частоте процессора зараженной машины.

Получаемое трояном с управляющего сервера задание содержит IP-адрес подсети, которую вредоносная программа сканирует на наличие устройств с открытым SSH-подключением на порту 22. При обнаружении таких устройств троян пытается получить к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а в случае успеха отправляет сообщение об этом на сервер злоумышленников.

Сигнатуры перечисленнных вредоносных программ добавлены в вирусные базы, и потому они не представляют опасности для пользователей «Антивируса Dr.Web», подчеркнули в «Доктор Веб».