JBreaker - новости консолей Sony: PS3, PS Vita, PS4

Троян Linux.Sshdkit атакует серверы под управлением GNU/Linux
22.03.2013 23:51

Linux.Sshdkit

Антивирусные компании зафиксировали увеличение количества инцидентов с взломом серверов на базе платформы Linux. Также взлому подвержены многие роутеры, использующие Linux в качестве ОС - например, роутеры mikrotik. В связи с этим специалисты компании «Доктор Веб» инициировали и провели собственное расследование. Им удалось выяснить, что одна их схем взлома основана на троянском приложении Linux.Sshdkit, при помощи которого злоумышленники похищали пароли.

Вредоносная утилита Linux.Sshdkit является типичной динамической библиотекой, которая имеет две разновидности - для 32- и 64-разрядных модификаций Linux. Точный механизм распространения данного вируса пока полностью не раскрыт, но уже есть основания предполагать, что инсталляция на сервер производится при помощи критической уязвимости. Одна из ранних версий вредоносного приложения имеет номер 1.0.3 (распространяется относительно давно), а последняя известная – 1.2.1.

После успешного проникновения в систему вредоносная утилита пытается встроиться в процесс sshd, фиксируя функции аутентификации системного процесса. После того, как пользователь введет в форму свой логин и пароль, они фиксируются и отправляются на удаленный сервер злоумышленников (используется протокол UDP). Необходимый IP-адрес прописан непосредственно в коде Linux.Sshdkit, однако адрес центра управления формируется новый каждые двое суток. Для этого утилита использует довольно необычный алгоритм, выбирающий имя командного сервера.

Вредоносная программа генерирует при помощи собственного алгоритма два DNS-имени. Если они ссылаются на одинаковый IP-адрес, он преобразуется в новый, на который вирус и отправляет украденные данные.

Экспертам удалось получить полный контроль над одним из управляющих серверов Linux.Sshdkit, что позволило подтвердить предположение, что троянское приложение отправляет на внешний сервер сохраненные пароли и логины.

Сигнатура вируса уже добавлена в антивирусные базы. Владельцам и администраторам серверов, использующих дистрибутив Linux, рекомендуется проверить систему. Одним из явных признаков инфицирования является появления библиотеки /lib/libkeyutils*, которая обладает размером 20-35 килобайт.