Linux під прицілом DDoS-троянів

У цьому місяці інженери виробника антивірусної продукції, компанії «Доктор Веб» виявили і вивчили величезну кількість (фактично був встановлений рекорд, якщо порівняти з минулими місяцями) троянів для ОС Linux, причому більша частина використовується для організації DDoS-атак. Їх об’єднує кілька моментів. Перший – вони задіюються для проведення DDoS-атак, використовуючи різноманітні протоколи. Другий – у них один і той же автор, правда на це вказують лише непрямі ознаки.

Розглянемо кілька прикладів виявлених шкідливих програм.

Linux.DDoS.3 має вельми значною кількістю функціональних можливостей. Після початку роботи, він виявляє адреса командного сервера, посилає на нього дані про інфікованої системі і переходить в режим очікування з метою отримання конфігураційної інформації з параметрами поточного завдання (також зловмисники отримують і звіт про її виконання). За допомогою цього трояна можна провести DDoS-атаки на ключовий сервер, використовуючи протоколи TCP / IP, UDP (TCP і UDP флуд). Для посилення ефективності атак може відправити запити на DNS-сервера (DNS Amplification).

Linux.DDoS.22 це ще одна модифікація, призначена для дистрибутивів Linux, що працюють з процесорами ARM. 32-бітові ОС Ubuntu і CentOS, на яких працюють сервери та спеціалізовані комп’ютери, є улюбленими місцями для Linux.DDoS.24. Він впроваджується в систему під назвою pktmake і відразу ж реєструє себе в параметрах автозапуску ОС, після чого починає збирати дані щодо апаратної конфігурації (зокрема маркування процесора і об’єм пам’яті), і посилає її в зашифрованому вигляді злочинцям на їх комп’ютери. Linux.DDoS.24 використовується хакерами для DDoS-атак за вказівкою з віддаленого комп’ютера.

Також фахівці «Доктор Веб» опублікували інформації про групу вірусів, яка включає п’ять версій троянів Linux.DnsAmp. Частина з них можуть використовувати одночасно два керуючих сервера і піддати інфікування як 32-бітові (Linux.DnsAmp.1, 3 і 5), так і 64-бітові (Linux.DnsAmp.2 і 4) версії. Як і інші типи троянів, вони себе реєструють в автозапуску, збирають і надсилають на віддалений вузол зібрані дані. Linux.DnsAmp.3 і 4 (для 32- і 64-бітових версій відповідно) являють собою модифікований Linux.DnsAmp першої версії з досить спрощеної системою команд. Тобто, дані види трояна можуть виконувати три команди від керуючого сервера: дати старт DDoS-атаці, залишити її і завантажити дані в файл журналу, а більшість цих троянів управляються одними і тими ж серверами. Для ARM-версій Linux існує троянець Linux.Mrblack, який використовується для здійснення DDoS-атак із задіянням протоколом TCP / IP і HTTP. У нього дуже проста архітектура, і як його побратими, він працює по команді з керуючого сервера.

Управління описаними вище троянськими програмами здійснюється з серверів, розташованих на території КНР (переважна більшість), а основними їх цілями стають китайські веб-портали. Всі вони вже внесені в бази антивіруса Dr.Web і тому користувачі можуть не турбуватися за свої комп’ютери.

Ссылка на основную публикацию