A A A

Groźny trojan dla Linuxa

19 września 2016, 14:30
Trojan Linux.DDoS.93 został stworzony do atakowania komputerów działających pod kontrolą systemu operacyjnego Linux. Prawdopodobnie jest rozpowszechniany z użyciem zestawu podatności ShellShock obecnych w GNU Bash.
Groźny trojan dla Linuxa

Uruchomiony Linux.DDoS.93 próbuje zmienić zawartość katalogów systemowych, aby zapewnić sobie automatyczne uruchamianie się. Następnie trojan sprawdza, czy w zainfekowanym komputerze są obecne inne kopie Linux.DDoS.93 i jeśli je wykryje - zamyka je.

Trojan Linux.DDoS.93 tworzy dwa procesy podrzędne. Pierwszy z nich jest odpowiedzialny za wymianę danych z serwerem kontrolno-zarządzającym. Drugi weryfikuje, czy proces nadrzędny działa w nieskończonej pętli (jeśli nie, to uruchamia go). Proces nadrzędny robi później to samo względem procesów podrzędnych - tym samym trojan jest w stanie działać na zainfekowanej maszynie bez żadnych przerw.

Linux.DDoS.93 potrafi wykonywać następujące komendy:

  • Aktualizacja złośliwego programu
  • Pobranie i uruchomienie pliku określonego w poleceniu
  • Usunięcie siebie samego
  • Uruchomienie na określonym porcie ataku UDP flood
  • Uruchomienie na losowo wybranym porcie ataku UDP flood
  • Uruchomienie ataku Spoofed UDP flood
  • Uruchomienie ataku TCP flood
  • Uruchomienie ataku TCP flood (do pakietów są dodawane losowe dane o długości do 4096 bajtów)
  • Uruchomienie ataku HTTP flood z użyciem żądań GET
  • Uruchomienie ataku HTTP flood z użyciem żądań POST
  • Uruchomienie ataku HTTP flood z użyciem żądań HEAD
  • Wysyłanie żądań HTTP z określonymi parametrami na 255 losowych adresów IP
  • Przerwanie działania
  • Wysłanie komendy PING

Gdy trojan otrzymuje komendę uruchomienia ataku DDoS lub wysłania losowych żądań, kończy on najpierw pracę wszystkich procesów podrzędnych, a następnie uruchamia 25 nowych, które potem przeprowadzają zlecone przez cyberprzestępców ataki. Sygnatura Linux.DDoS.93 została dodana do bazy wirusów Dr. Web, tym samym użytkownicy Dr.Web dla Linuxa są objęci ochroną przed tym zagrożeniem.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Ocena:
Oceń:
Komentarze (5)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
ptrick
ptrick
22 marca 2018, 01:00
Wybacz, nie skupiłem się na dacie tym razem. :(
koneton
koneton
21 marca 2018, 21:40
Czepiasz się, to jest odkop z 2016...
ptrick
ptrick
21 marca 2018, 20:17
koneton napisał(a): Podatność ShellShock została załatana w 2014, czyli administrator musiałby jeszcze nie aktualizować systemu przez ostatnie dwa lata. Podsumowując, do uruchomienia trojana należy: Może się czepiam, ale raczej to było 3-4 lat temu, a nie 2. :E
avatar
KrisKros123
21 marca 2018, 17:25
Dokładnie Linux to nie Windows. Dobrze mówi "koneton". Oprócz tego co napisał dodam, że na normalnym aktualizowanym systemie itd. trzeba samemu go sobie uruchomić. Bo Linux to system napisany przez zwykłych ludzi nie przez korporację, która chce jeszcze dodatkowo zarobić za instalowanie płatnych programów antywirusowych i dlatego jeszcze uzupełnię "przez zwykłych ludzi" i tu się kłania myślenie, czy Ci zwykli ludzie chcieli by mieć wirusy na kompach, raczej nie i właśnie dlatego wszystko było zrobione tak, aby ich nie było.
koneton
koneton
20 września 2016, 11:00
Tytuł brzmi nieprawdopodobnie, co potwierdza reszta artykułu. Trojan jest groźny, ale jego instalacja jest niemal niemożliwa. Do działania wymaga uprawnień administracyjnych. Zakładając, że administrator systemu samemu go nie zainstaluje, zostaje nam wykorzystanie dziury w oprogramowaniu. Autor newsa wskazuje na ShellShock. Podatność ta umożliwia wykonanie poleceń linii komend (bash) z uprawnieniami użytkownika na jakich działa dany serwis. Żeby atak się udał, użytkownik usługi musiałby działać z uprawnieniami root'a. Oczywiście jest to niezgodne ze zasadami bezpieczeństwa, ale przypuśćmy, że możliwe. Czy to wystarczy? Niekoniecznie, ponieważ każdy system serwerowy ma wbudowane inne zabezpieczenia. Może to być np. SELinux (mają go wszystkie systemy związane z Red Hatem - RHEL, Fedora, CentOS). Domyślnie SELinux jest włączony, nawet w systemie desktopowym. Ten pakiet zabezpieczeń skutecznie blokuje możliwość wykorzystania dziury ShellShock. Zatem, by zainstalować trojana, administrator musiałby jeszcze wyłączyć zabezpieczenia na serwerze - to już jest bardzo naciągane, ale nic sprawdzajmy dalej. Podatność ShellShock została załatana w 2014, czyli administrator musiałby jeszcze nie aktualizować systemu przez ostatnie dwa lata. Podsumowując, do uruchomienia trojana należy: [list=1] [*]Wyłączyć domyślne zabezpieczenia [*]Nie aktualizować systemu przez ostatnie dwa lata [*]Łamać podstawowe zasady nadawania uprawnień dla użytkowników serwisowych  [/list] Dopiero spełnienie wszystkich trzech punktów umożliwi nam uruchomienie "groźnego" trojana. Oczywiście, Dr.Web dla Linuxa zablokuje tego trojana, pod warunkiem, że administrator aktualizuje bazę wirusów. Mam wrażenie, że ktoś tutaj (Dr. Web lub PC Format) nie rozumie jak działa Linux, stąd tak nieprawdopodobne artykuły. Linux to nie Windows.
Najnowsze aktualności




Kolekcjonerskie NFT dla kinomanów
29 listopada 2021
Dystrybutor filmów AMC Networks oraz firma Sony Pictures zaoferują niewymienialne tokeny uczestnikom programu lojalnościowego.
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto