LINUX.ORG.RU

Linux.BackDoor.Gates.5 – еще один троянец для Linux

 


2

2

5 июня 2014 года

Укоренившееся в сознании некоторых пользователей мнение о том, что для операционных систем, построенных на базе ядра Linux, на сегодняшний день не существует серьезных угроз, все чаще подвергается испытаниям на прочность. В мае 2014 года специалисты антивирусной компании «Доктор Веб» обнаружили рекордное по сравнению с предыдущими месяцами число вредоносных программ для Linux, и уже в июне этот список пополнился новыми представителями Linux-троянцев, получивших общее название Linux.BackDoor.Gates.

Вредоносные программы семейства Linux.BackDoor.Gates, об одном из представителей которого, Linux.BackDoor.Gates.5, мы хотели бы рассказать в этой статье, сочетают в себе функциональные возможности классического бэкдора и троянца для организации DDoS-атак. Угроза ориентирована на 32-разрядные дистрибутивы Linux, и по ряду признаков можно сделать вывод о том, что ее авторами являются те же вирусописатели, которые разработали троянцев семейств Linux.DnsAmp и Linux.DDoS. Троянец состоит из двух функциональных модулей: основной представляет собой бэкдор, способный выполнять поступающие от злоумышленников команды, второй, сохраняемый на диск основным модулем в процессе установки троянца, предназначен для осуществления DDoS-атак. В ходе своей работы Linux.BackDoor.Gates.5 собирает и передает злоумышленникам следующую информацию об инфицированном компьютере:

Количество ядер CPU (читает из /proc/cpuinfo). Скорость CPU (читает из /proc/cpuinfo). Использование CPU (читает из /proc/stat). IP Gate'a (читает из /proc/net/route). MAC-адрес Gate'a (читает из /proc/net/arp). Информацию о сетевых интерфейсах (читает из /proc/net/dev). MAC-адрес сетевого устройства. Объем памяти (используется параметр MemTotal из /proc/meminfo). Объем переданных и полученных данных (читает из /proc/net/dev). Название и версию ОС (с помощью вызова команды uname).

После своего запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен, и в зависимости от полученного результата может реализовать четыре возможные модели поведения.

Если путь расположения исполняемого файла бэкдора отличен от путей утилит netstat, lsof, ps, то троянец запускает себя в системе как демон, после чего начинает процедуру инициализации, в процессе которой расшифровывает из своего тела конфигурационный файл. Этот файл содержит различные данные, необходимые для работы троянца, такие как, например, IP-адрес и порт управляющего сервера, параметры установки бэкдора и некоторые другие.

В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле троянец либо самостоятельно соединяется с управляющим сервером, либо ожидает входящего соединения — после успешной установки такового бэкдор проверяет IP-адрес обращающегося к нему узла и работает с ним, как с командным сервером.

В процессе своей установки троянец проверяет файл /tmp/moni.lock, и, если он не пустой, читает записанное в него значение (PID процесса) и «убивает» процесс с таким ID. Затем Linux.BackDoor.Gates.5 проверяет, запущен ли в системе DDoS-модуль и собственный процесс бэкдора (если они запущены, эти процессы также «убиваются»). Если в файле конфигурации установлен специальный флаг g_iIsService, то троянец прописывает себя в автозагрузку, записывая строку #!/bin/bash\n<path_to_backdoor> в файл /etc/init.d/, после чего Linux.BackDoor.Gates.5 создает следующие символические ссылки:

ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

Если в конфигурационном файле установлен флаг g_bDoBackdoor, троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty и запускает. На финальном этапе установки Linux.BackDoor.Gates.5 создает еще одну собственную копию в папке /usr/bin/ с именем, записанным в конфигурационном файле, а также замещает собой следующие утилиты:

/bin/netstat /bin/lsof /bin/ps /usr/bin/netstat /usr/bin/lsof /usr/bin/ps /usr/sbin/netstat /usr/sbin/lsof /usr/sbin/ps

На этом процесс установки троянца завершается и вызывается функция для выполнения его основных задач.

В случае использования двух других алгоритмов поведения троянец также стартует на инфицированном компьютере как демон, проверяет, запущены ли его компоненты путем чтения соответствующего .lock-файла (и, если нет, запускает их), однако использует разные имена для сохранения файлов и регистрации себя в автозагрузке.

Установив связь с командным сервером, Linux.BackDoor.Gates.5 получает от него конфигурационные данные с заданием, которое должен выполнить бот. По команде злоумышленников троянец способен осуществить автообновление, начать или прервать DDoS-атаку на удаленный узел с заданным IP-адресом и портом, выполнить команду из блока конфигурационных данных или установить соединение для выполнения других команд с удаленным узлом, имеющим заданный IP-адрес.

Подробности

Перемещено fallout4all из security

мы хотели бы рассказать в этой статье

нет пути.

t184256 ★★★★★ ()
Ответ на: комментарий от anonymous

или настраивать apparmor/selinux или хотя бы noexec

anonymous ()

Это что троянец надеется, что прокладка_между_стулом_и_клавиатурой запустила его от пользователя root ? Такой таракан может завестить разве что у админа локалхоста, потому как нормальные админы а) не запускают черт знает что б) бдят обстановку в) настраивают selnux и пр.

nt_crasher ★★★ ()

А где собственно пруфы?

Или это, очередное заявление звездочётов, которые хотят схватить астрономический куш - «We can do it! If...»

styxriver ()

Прочитал в начале новости фразу «5 июня 2014 года». Подумал, что это 6.1. Так и вышло.

А по теме, не вполне понятно, как этот троян размножается или пытается получить рута. Или только человеческим путём?

proud_anon ★★★★★ ()
Ответ на: комментарий от Valdor

Все линуксовые вирусы/трояны надо лично скомпилировать и запустить от рута, иначе ничего не выйдет

И ещё вручную разобраться с зависимостями, если не собирается - поправить код, в общем дел на пару часов, не меньше. Тяжёлое это дело - заразить свой компюьютер вирусом если на нём линукс. У меня не получается.

mbivanyuk ★★★★★ ()

Я так и не понял, как он может попасть на мой компьютер?

loz ★★★★★ ()

Еще один, говоришь? Ссылки на остальные мне приведи - скачаю! :D

anonymous ()
Ответ на: комментарий от a1batross

А оно кому надо, это Ваше форматирование? Читабельность нормальная? Глазки не сломались?

Ну тут бодрая половина ньюсов - копипаст с опеннет, чего-то всех всё устраивает. А «говно» или нет - я не спец, тут Вам решать, как специалисту в этом вопросе.

По поводу самого трояна - по моему Др.Веб пытается таки провести экспансию туда, куда не получается. :)

Alexonline ★★★ ()
Ответ на: комментарий от Alexonline

Посмотри в оригинале, что есть перечисление. И во что оно превратилось у тебя.

И сколько консольных команд, которые выделены моноширинным шрифтом. А ты их ни в code не захотел класть. Давай вообще от HTML откажемся. Будут сайты в plain-text. И чтобы перейти по ссылке нужно будет ее скопировать и вручную вставить в адресную строку.

копипаст с опеннет, чего-то всех всё устраивает

Посмотри удаленные, там не мало копипаст удалено. Лучшие попадают на главную. У тебя далеко не из лучших. =)

a1batross ★★★★★ ()
Последнее исправление: a1batross (всего исправлений: 1)
Ответ на: комментарий от Alexonline

А о людях значит забота не нужна? Легче воспринимать любое написанное отформатированным. Что текст, что код программы. Никогда не думал, почему некоторые так не любят, когда люди пишут однострочники, непонятные конструкции в перемешку со всякими goto.

a1batross ★★★★★ ()
Ответ на: комментарий от Alexonline

Конечно. Если вы извлекли пользу. Если нет, то и дурак. :)

a1batross ★★★★★ ()

Почему никто не отследил сервер и не набил морду по IP?

fenris ★★★★★ ()

Опять разработчики антеверусов хотят запугать школьников и навязать покупку своего поделия для линукс.

ДрВеб иди в_вендудомой, ты пьян.

anonymous ()

Как обычно, ограничим права.

DeadEye ★★★★★ ()

В зависимости от значения параметра g_iGatsIsFx в конфигурационном файле...
Если в файле конфигурации установлен специальный флаг g_iIsService...

Так его ещё и настраивать надо?
Кто в вики статью-урок по настройке напишет?

yacuken ★★★★ ()

троянец проверяет также наличие у своего процесса прав root, для чего пытается открыть файл /root/.profile. Затем бэкдор копирует себя в /usr/bin/bsd-port/getty

Т.е. проверяет и, если есть, то пишет в /usr, а если нет? Как он вообще пролезает на мой компьютер и кто его там запускает?

Greh ★★ ()
Ответ на: комментарий от Greh

Никто никуда не пролезает. Аналитики докторвеба написали тридцать строк на Си и выдают это за «крутой вирус».

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

Могут конечно. Но могут и различаться. Потому и спросил.

yacuken ★★★★ ()

Такое ощущение, что сам др. веб этих троянцев и пишет

anonymous ()

PEWETO, LOL.

А хотя не, это ДрВеб брешет.

CLU ()

А где скачать для посмотреть? Есть в каком-нибудь оверлее гентушном?

После своего запуска Linux.BackDoor.Gates.5 проверяет путь к папке, из которой он был запущен

А если у меня в генточке нет папок - оно у меня не пойдет, можно и не искать?

Lavos ★★★★★ ()
Ответ на: комментарий от anonymous

Спасибо, но как я и думал, оно не идет у меня из-за отсутствия папок...

$ youtube-dl --id 'http://www.youtube.com/watch?feature=player_embedded&v=WVaPFKnDkGg'
[youtube] Setting language
[youtube] WVaPFKnDkGg: Downloading webpage
[youtube] WVaPFKnDkGg: Downloading video info webpage
[youtube] WVaPFKnDkGg: Extracting video information
[download] Destination: WVaPFKnDkGg.mp4
[download] 100% of 717.97KiB in 00:00
$ chmod +x WVaPFKnDkGg.mp4
$ ./WVaPFKnDkGg.mp4
bash: ./WVaPFKnDkGg.mp4: cannot execute binary file

Lavos ★★★★★ ()

Gates - это подпись автора?

anonymous ()

Сырцы есть? ebuild-ы есть? Под х86_64 собрать можно? На не х86/х86_64 работает? Под selinux/hardened/pax заводится?

init_6 ★★★★★ ()

Тред как обычно полон унылых петросянов, а бот тем не менее интересный.

xtraeft ★★☆☆ ()

Мне вот сегодня на почту пришло письмо с каким-то exe-файлом переименованым в scr и запакованым в rar.

Подо офтопиком 7zip его читает, но ни касперский ни DrWeb ни чего не нашли, а под онтопиком он вообще не открылся

Причем Archive Manager не ругался а просто аварийно завершился. Может конечно архив случайно оказался битым, но скорее всего ошибка была допущена специально, чтобы обойти проверку на стороне почтового сервера. Такие дела.

tlx ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.