Троян Linux.Sshdkit атакует серверы под управлением GNU/Linux

Антивирусные компании зафиксировали увеличение количества инцидентов с взломом серверов на базе платформы Linux. В связи с этим специалисты компании «Доктор Веб» инициировали и провели собственное расследование. Им удалось выяснить, что одна их схем взлома основана на троянском приложении Linux.Sshdkit, при помощи которого злоумышленники похищали пароли.

Вредоносная утилита Linux.Sshdkit является типичной динамической библиотекой, которая имеет две разновидности - для 32- и 64-разрядных модификаций Linux. Точный механизм распространения данного вируса пока полностью не раскрыт, но уже есть основания предполагать, что инсталляция на сервер производится при помощи критической уязвимости. Одна из ранних версий вредоносного приложения имеет номер 1.0.3 (распространяется относительно давно), а последняя известная – 1.2.1.

Как сообщает ubuntu-news.ru, после успешного проникновения в систему вредоносная утилита пытается встроиться в процесс sshd, фиксируя функции аутентификации системного процесса. После того, как пользователь введет в форму свой логин и пароль, они фиксируются и отправляются на удаленный сервер злоумышленников (используется протокол UDP). Необходимый IP-адрес прописан непосредственно в коде Linux.Sshdkit, однако адрес центра управления формируется новый каждые двое суток. Для этого утилита использует довольно необычный алгоритм, выбирающий имя командного сервера.

Вредоносная программа генерирует при помощи собственного алгоритма два DNS-имени. Если они ссылаются на одинаковый IP-адрес, он преобразуется в новый, на который вирус и отправляет украденные данные.

Экспертам удалось получить полный контроль над одним из управляющих серверов Linux.Sshdkit, что позволило подтвердить предположение, что троянское приложение отправляет на внешний сервер сохраненные пароли и логины.

Сигнатура вируса уже добавлена в антивирусные базы. Владельцам и администраторам серверов, использующих дистрибутив Linux, рекомендуется проверить систему. Одним из явных признаков инфицирования является появления библиотеки /lib/libkeyutils*, которая обладает размером 20-35 килобайт.